قالت شركة مايكروسوفت إن مجموعة القراصنة $Lapsus حصلت على وصول محدود إلى أنظمتها، بعد ادعاء المجموعة بأنها حصلت على التعليمات البرمجية المصدرية لمحرك بحث Bing والمساعد الصوتي كورتانا Cortana.
ونشرت المجموعة ملفًا ادعت أنه يحتوي على التعليمات البرمجية المصدرية الجزئية لـ Bing و Cortana في أرشيف يحتوي على ما يقرب من 37 جيجابايت من البيانات.
وكانت عملاقة البرمجيات تتبع أنشطة $Lapsus – التي تصنفها على أنها حملة ابتزاز وهندسة اجتماعية واسعة النطاق – لعدة أسابيع.
وقدمت الشركة بعض التفاصيل حول أساليب هجمات $Lapsus في تدوينة. وقالت: يتمثل هدف الجهات الفاعلة في DEV-0537 في الحصول على وصول من خلال البيانات المسروقة التي تتيح سرقة البيانات والهجمات المدمرة ضد منظمة مستهدفة، مما يؤدي غالبًا إلى الابتزاز. تشير التكتيكات والأهداف إلى أن هذا فاعل مجرم إلكتروني مدفوع بالسرقة والتدمير.
مايكروسوفت
وكانت $Lapsus قد اخترقت سابقًا دفاعات الأمن السيبراني لشركة إنفيديا وسامسونج. كما ادعت المجموعة أيضًا أنها حصلت على امتيازات نظام Okta، الشركة التي تتخذ من سان فرانسيسكو مقراً لها والتي تدير خدمات مصادقة المستخدم لآلاف من عملاء الشركات.
وعارضت Okta مزاعم المجموعة بشأن الوصول إلى خدمة المصادقة، وقالت إن خدمتها لم يتم اختراقها ولا تزال تعمل بكامل طاقتها.
وقالت: توصل تحقيقنا إلى أن حسابًا واحدًا قد تعرض للاختراق، مما منح وصولاً محدودًا. انخرطت فرق الاستجابة للأمن السيبراني لدينا بسرعة لإصلاح الحساب المخترق ومنع المزيد من النشاط. لا تعتمد مايكروسوفت على سرية التعليمات البرمجية كإجراء أمني. ولا يؤدي عرض التعليمات البرمجية المصدرية إلى زيادة المخاطر.
مايكروسوفت تتبع المجموعة منذ أسابيع
قامت مجموعة القرصنة، التي تم منحها التصنيف DEV-0537 من قبل باحثي الأمن السيبراني في مايكروسوفت، بتوسيع النطاق الجغرافي لأهدافها وملاحقة المنظمات الحكومية وكذلك قطاعات التكنولوجيا والاتصالات والرعاية الصحية. وقالت مايكروسوفت إنها معروفة أيضًا باختطاف حسابات العملات المشفرة.
وادعت $Lapsus عبر وسائل التواصل الاجتماعي أنها اخترقت العديد من شركات التكنولوجيا الكبرى إلى جانب مايكروسوفت.
وكانت قناة تيليجرام التابعة لها هي الأولى التي أعلنت عن اختراقات مايكروسوفت و Okta هذا الأسبوع. وتضمنت أيضًا ذكرًا لخرق حسابات موظفي شركة إل جي.
وقالت عملاقة البرمجيات: على عكس معظم مجموعات الأنشطة التي تحاول الابعتاد عن الضوء، يبدو أن DEV-0537 لا تغطي مساراتها. وتعلن المجموعة عن هجماتها عبر وسائل التواصل الاجتماعي. كما تعلن عن نيتها شراء بيانات من موظفي المنظمات المستهدفة.