Während von Russland aus agierende Ransomware-Banden im vergangenen Jahr für negative Schlagzeilen sorgten, machten sich bis dato unbekannte kriminelle Hacker auf, die grössten Techkonzerne der Welt anzugreifen.
Die Gruppierung, die sich Lapsus$ nennt, ist seit Dezember 2021 aktiv und hat inzwischen einige der bekanntesten Unternehmen gehackt und Terabyte an vertraulichen Dokumenten und Geschäftsgeheimnissen geleakt.
Doch wer steckt hinter Lapsus$ und was macht die Kriminellen dermassen unberechenbar? Dieser Beitrag versucht Antworten zu liefern auf die wichtigsten Fragen.
Aus mehreren Gründen:
In der Nacht auf Dienstag veröffentlichte die Hackergruppe mehrere Screenshots, die IT-Sicherheitsexperten (in ersten Reaktionen) das Schlimmste befürchten liessen. War es Lapsus$ gelungen, heimlich in die Server des IT-Dienstleisters Okta einzudringen und sich so indirekt Zugang zu den Kunden des US-Unternehmens zu verschaffen?
Dies wäre ein GAU, twitterte ein besorgter IT-Experte. Denn Okta sei quasi wie ein «LastPass für Unternehmen» – also eine Art Passwort-Manager auf Steroiden. Wer das Masterpasswort knackt, hätte ungehinderten Zugriff auf (fast) alles.
Todd McKinnon, Co-Gründer von Okta, versuchte via Twitter der aufkommenden Panik zu begegnen. Die geleakten Screenshots stammten von einem Angriffsversuch im Januar. Die daraufhin eingeleiteten Untersuchungen hätten keine Hinweise auf weitere «bösartige Aktivitäten» ergeben.
Tatsache ist allerdings, dass Lapsus$ in den letzten drei Monaten in Netzwerke von einigen der grössten und führenden Techkonzerne eindringen und unbemerkt Datendiebstähle im grossen Stil begehen konnte. Darum wurden nun auch Befürchtungen laut, dass sich die Hacker über Okta Zugang zu prominenten Kunden verschafft haben könnten.
Okta dementierte in einer am Dienstag veröffentlichten Stellungnahme, dass es den Hackern gelungen sei, wichtige Systeme zu kapern. Es sei nur der Laptop eines Support-Mitarbeiters betroffen gewesen. Dem wiederum widersprachen die Hacker bei Telegram und behaupteten, ihr Angriff sei erfolgreich gewesen. Dann räumte Okta ein, dass «ein kleiner Teil der Kunden – etwa 2,5 Prozent» – betroffen sei, was zu neuer Kritik an der Krisenkommunikation führte.
#Okta now state that up to 2.5% of its customers were impacted by the Lapsus$ incident. According to its website, Okta has >15k customers which means 375 or more companies have been impacted. *How* they’ve been impacted remains unclear. 1/2https://t.co/iMsY5IOqei
— Brett Callow (@BrettCallow) March 23, 2022
Sicher ist: Die Lapsus$-Hacker haben keinen Respekt vor grossen Namen. Im Gegenteil. Sie nehmen gezielt Marktführer und Techgiganten ins Visier, wie ein am 10. März bei Telegram veröffentlichter Aufruf zeigt. Demnach sollen Firmen-Insider den Hackern Zugänge zu geschützten IT-Systemen vermitteln. Falls gewünscht gegen Bezahlung, wie es heisst.
Zuletzt hat es nun Microsoft erwischt.
Diese Woche kündigte Lapsus$ via Telegram an, den Quellcode für Bing, Cortana und andere Microsoft-Software geleakt zu haben. Die Gruppe behauptet, sie habe die Daten von Microsofts internem Azure-DevOps-Server gestohlen.
Azure Devops? Das ist eine von Microsoft betriebene Software-Entwicklungsplattform, die früher als «Visual Studio Team Services» bekannt war. Über sie können auch riesige Software-Projekte geplant und verwaltet werden.
Am frühen Sonntagmorgen veröffentlichte die Lapsus$-Bande einen Screenshot auf ihrem Telegram-Kanal, der belegen sollte, dass sie Microsoft tatsächlich bestohlen hatten. Am Montag legten die Kriminellen nach und veröffentlichten 37 Gigabyte an Quellcode, angeblich zu rund 250 Projekten.
In einem am Dienstagabend veröffentlichten Blogbeitrag bestätigt Microsoft, dass eines seiner Mitarbeiterkonten kompromittiert wurde. Dadurch sei «eingeschränkter Zugriff auf Quellcode-Repositories» gewährt worden.
Das Unternehmen versichert, der Diebstahl von Source-Code stelle kein Sicherheitsrisiko für die User dar.
Die Liste der Opfer wird länger und länger. Darunter sind einige der bekanntesten Techkonzerne zu finden:
Interessant: Die allerersten publik gemachten Hackerangriffe, respektive die Datendiebstähle und spätere Leaks, betrafen ausschliesslich portugiesischsprachige Ziele.
Im Dezember und Januar hackte und erpresste die Gruppe unter anderem das brasilianische Gesundheitsministerium, den portugiesischen Mediengiganten Impresa, die südamerikanischen Telekommunikations-Provider Claro und Embratel sowie die brasilianische Autovermietung Localiza. Zuletzt erwischte es dann – neben Microsoft – auch noch den argentinischen E-Commerce-Giganten Mercado Libre.
Das ist nicht öffentlich bekannt.
Bei Telegram gibt es Hinweise, die auf Brasilien als Operationsbasis schliessen lassen. Jedenfalls hat Lapsus$ kürzlich auf ein brasilianisches Online-Medium verlinkt. Und zwar auf einen Bericht, dass Telegram dort verboten würde.
Wie weiter oben aufgeführt, hatte die Gruppe zunächst ausschliesslich portugiesischsprachige Ziele attackiert.
Laut eines «Wired»-Berichts vermuten Sicherheitsforscher, dass Lapsus$ seinen Sitz in Südamerika hat, möglicherweise in Brasilien, und sie sagten, dass die Gruppe auch einige Mitglieder in Europa haben könnte, vielleicht in Portugal.
Nein. Auch wenn es dies in Berichten fälschlicherweise immer wieder heisst, ist Lapsus$ keine Ransomware-Bande. Sie arbeitet nicht mit Verschlüsselungstrojanern, um die Daten der Opfer zu verschlüsseln und Lösegeld zu erpressen. Und sie betreibt auch keine Leak-Site im Darknet, also keine Webseite, die übers Anonymisierungs-Netzwerk-Tor erreichbar ist.
Was die Angriffsmethoden betrifft, hat Lapsus$ laut Microsoft-Sicherheitsteam einiges auf dem Kasten:
Man könnte annehmen, den kriminellen Hackern gehe es wie Ransomware-Banden um Profit. In einem im Dezember bei Telegram veröffentlichten Posting schrieben sie:
Tatsächlich sind die Beweggründe nicht klar.
Lapsus$ scheine eher ein loses Kollektiv zu sein als eine disziplinierte Organisation, konstatierte das «Wired»-Magazin. In dem Mitte März veröffentlichten Artikel wird Xue Yin Peh, ein leitender Analyst für Cyber-Bedrohungen bei der Sicherheitsfirma Digital Shadows, zitiert. Dieser sagte, es gebe noch keine Hinweise darauf, dass die Gruppe Ransomware zur Erpressung ihrer Opfer einsetze. Daher könne man auch nicht bestätigen, dass Lapsus$ finanziell motiviert sei.
Das Vorgehen erinnere ihn sehr an die Lulzsec-Leute und sogar an Anonymous in früheren Zeiten, zitiert «Wired» den IT-Sicherheitsexperten Charles Carmakal, der Chief Technical Officer bei der Cybersicherheitsfirma Mandiant ist.
Dies illustriert auch die Attacke auf den Chiphersteller Nvidia. Hier wurden durch Lapsus$ nicht nur grosse Datenmengen geleakt, darunter Konstruktionspläne und Source-Code. Die Angreifer versuchten darüber hinaus auch, das Opfer zu demütigen, indem sie unmögliche Forderungen stellten.
So verlangten sie vom Unternehmen, es solle alle seine Treiber-Software für die Betriebssysteme Linux, macOS und Windows unter einer entsprechenden Lizenz als Open Source, respektive freie Software (FOSS) zu veröffentlichen.
Im Gegensatz zu den Ransomware-Banden betreiben die Hacker keine Leak-Site im Darknet, um Druck auf die Opfer auszuüben und gestohlene Datensätze zu veröffentlichen. Stattdessen kommuniziert Lapsus$ ausschliesslich über einen eigenen Kanal beim Messenger-Dienst Telegram. Der Kanal hat mittlerweile mehr als 36'000 Abonnenten.
Eines der Markenzeichen von Lapsus$ sei die Durchführung von Umfragen auf dem eigenem Telegram-Kanal. Da könnten die Besucherinnen und Besucher abstimmen, wessen Daten die Bande als Nächstes veröffentlichen solle.
Die Erpressergruppe nutze ihre sehr aktiven Telegramm-Kanäle, um neue Leaks und Hackerangriffe anzukündigen und mit ihren Fans zu chatten, schreibt Bleeping Computer, «und sie scheinen die Bekanntheit zu geniessen».
Das Dürsten nach Bekanntheit mache Lapsus$ besonders rücksichtslos und gefährlich, konstatiert der IT-Sicherheitsexperte Carmakal. Sie verschlüsselten zwar keine Systeme, löschten aber Dateien und virtuelle Maschinen und verursachten im Allgemeinen «eine ganze Menge Chaos».
Lapsus$ droht denn auch ein ähnliches Ende wie einst dem berüchtigten Hackerkollektiv Lulzsec. Dieses hatte ab Mai 2011 mit spektakulären Aktionen für Aufregung gesorgt – bis das FBI zuschlug und führende Köpfe verhaftete.