DEV-0537 est l'autre nom que Microsoft donne au groupe Lapsus$, en soulignant qu'il cible des organisations pour l'exfiltration et la destruction de données, et sans déployer de charges utiles de type ransomware.

Lapsus$ a revendiqué la compromission d'un serveur Azure DevOps de Microsoft, puis a fait fuiter en début de semaine du code source de plusieurs projets internes du groupe de Redmond. Lapsus$ a notamment fait mention de 90 % du code source de Bing, et près de 45 % de celui de Bing Maps et Cortana.

Microsoft se montre serein

Microsoft confirme compter parmi les victimes du groupe d'extorsion de données DEV-0537. " Aucun code ou donnée client n'a été impliqué dans les activités observées. Notre enquête a révélé qu'un seul compte avait été compromis, accordant un accès limité. "

En dépit de cela, Microsoft souligne ne pas s'appuyer sur le secret du code source comme mesure de sécurité et pour assurer la sécurité des produits, et indique que la consultation du code source n'entraîne pas d'augmentation du risque.

En somme, les modèles de menace de Microsoft supposent que les attaquants ont connaissance du code source. C'est ce qu'avait déjà évoqué le géant américain du logiciel après la cyberattaque contre SolarWinds. Les attaquants avaient eu accès à des dépôts contenant du code source pour Azure, Intune et Exchange.

cybersecurite

D'abord en quête d'identifiants compromis

Selon Microsoft, le groupe DEV-0537 utilise diverses méthodes pour compromettre les identités d'utilisateurs et obtenir un accès initial au réseau informatique d'une organisation.

Parmi ces méthodes, le déploiement d'un malware Redline (Redline Stealer) pour voler des mots de passe et jetons de session (tokens), l'achat d'identifiants et jetons de session sur des forums de cybercriminels, soudoyer des employés, rechercher des informations d'identification dans des dépôts de code publics.

Avec des informations d'identification compromises, DEV-0537 accède généralement au VPN d'une organisation, protocole de bureau à distance, infrastructure de bureau virtuel ou des services de gestion de l'identité.

Dans au moins une attaque, Microsoft indique par ailleurs que Lapsus$ a eu recours à du SIM swapping pour l'accès au numéro de téléphone d'un utilisateur et se connecter au réseau d'une entreprise. Une méthode qui permet de manipuler les invites d'authentification lors d'une vérification à plusieurs facteurs.

lapsus$-message

Le groupe Lapsus$ ne brille en tout cas pas par sa discrétion. Il ne se soucie guère de dissimuler son activité et couvrir ses traces, fait ouvertement la promotion de ses attaques et lance des campagnes de recrutement. Du génie... ou un excès de confiance qui lui sera fatal ?