DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Unbekannte Hacker agieren immer dreister – und nehmen die Techgiganten ins Visier.
Unbekannte Hacker agieren immer dreister – und nehmen die Techgiganten ins Visier. Bild: watson / Shutterstock

Lapsus$ knackt sie alle? Das musst du über die völlig unberechenbaren Hacker wissen

Eine kriminelle Hackergruppe, die nicht aus Russland, sondern vielleicht aus Brasilien stammt, hält die IT-Sicherheitsfachleute in Atem. Welche Ziele verfolgt Lapsus$ wirklich? Eine Einordnung.
23.03.2022, 11:1024.03.2022, 10:04

Während von Russland aus agierende Ransomware-Banden im vergangenen Jahr für negative Schlagzeilen sorgten, machten sich bis dato unbekannte kriminelle Hacker auf, die grössten Techkonzerne der Welt anzugreifen.

Die Gruppierung, die sich Lapsus$ nennt, ist seit Dezember 2021 aktiv und hat inzwischen einige der bekanntesten Unternehmen gehackt und Terabyte an vertraulichen Dokumenten und Geschäftsgeheimnissen geleakt.

Doch wer steckt hinter Lapsus$ und was macht die Kriminellen dermassen unberechenbar? Dieser Beitrag versucht Antworten zu liefern auf die wichtigsten Fragen.

Warum ist Lapsus$ so gefährlich?

Aus mehreren Gründen:

  • Die Hacker agieren scheinbar unberechenbar.
  • Sie veröffentlichen gestohlene Firmendaten und Geschäftsgeheimnisse ohne Rücksicht auf Verluste.
  • Es ist ihnen wiederholt gelungen, Zugang zu geschützten IT-Systemen grosser Unternehmen zu erlangen und unbemerkt grosse Datenmengen zu stehlen.
  • Die Angriffe basieren laut Fachleuten auf gestohlenen Logins, die mithilfe von gängiger Browser-Malware («Redline Password Stealer») erbeutet wurden, und auf der Kooperation mit Insidern: Lapsus$ bietet auch Geld an, um Zwei-Faktor-Authentifizierungen zu umgehen.

In der Nacht auf Dienstag veröffentlichte die Hackergruppe mehrere Screenshots, die IT-Sicherheitsexperten (in ersten Reaktionen) das Schlimmste befürchten liessen. War es Lapsus$ gelungen, heimlich in die Server des IT-Dienstleisters Okta einzudringen und sich so indirekt Zugang zu den Kunden des US-Unternehmens zu verschaffen?

Dies wäre ein GAU, twitterte ein besorgter IT-Experte. Denn Okta sei quasi wie ein «LastPass für Unternehmen» – also eine Art Passwort-Manager auf Steroiden. Wer das Masterpasswort knackt, hätte ungehinderten Zugriff auf (fast) alles.

«Sesam öffne dich»
Das in San Francisco beheimatete Techunternehmen Okta ist auf Identitäts- und Zugriffsmanagement spezialisiert. Es bietet Cloud-Software an, die anderen Firmen dabei hilft, die Benutzer-Authentifizierung in Anwendungen zu verwalten und abzusichern. Die Okta-Dienste ermöglichen es also anderen Software-Entwicklern, Identitätskontrollen in Anwendungen, Webdiensten und mehr zu integrieren.

Okta bietet sechs Dienste an, darunter einen «Single-Sign-On»-Dienst, mit dem sich die User über einen zentralen Prozess bei einer Vielzahl von Systemen sicher anmelden können. Also quasi ein «Sesam öffne dich», wie man es aus «Ali Baba und die 40 Räuber» kennt, aber online.

Todd McKinnon, Co-Gründer von Okta, versuchte via Twitter der aufkommenden Panik zu begegnen. Die geleakten Screenshots stammten von einem Angriffsversuch im Januar. Die daraufhin eingeleiteten Untersuchungen hätten keine Hinweise auf weitere «bösartige Aktivitäten» ergeben.

screenshot: twitter

Tatsache ist allerdings, dass Lapsus$ in den letzten drei Monaten in Netzwerke von einigen der grössten und führenden Techkonzerne eindringen und unbemerkt Datendiebstähle im grossen Stil begehen konnte. Darum wurden nun auch Befürchtungen laut, dass sich die Hacker über Okta Zugang zu prominenten Kunden verschafft haben könnten.

Der angebliche Okta-Hack wäre eine plausible Erklärung dafür, dass Lapus$ in den vergangenen Wochen diverse bekannte Unternehmen bestehlen konnte.
Der angebliche Okta-Hack wäre eine plausible Erklärung dafür, dass Lapus$ in den vergangenen Wochen diverse bekannte Unternehmen bestehlen konnte. screenshot: twitter

Okta dementierte in einer am Dienstag veröffentlichten Stellungnahme, dass es den Hackern gelungen sei, wichtige Systeme zu kapern. Es sei nur der Laptop eines Support-Mitarbeiters betroffen gewesen. Dem wiederum widersprachen die Hacker bei Telegram und behaupteten, ihr Angriff sei erfolgreich gewesen. Dann räumte Okta ein, dass «ein kleiner Teil der Kunden – etwa 2,5 Prozent» – betroffen sei, was zu neuer Kritik an der Krisenkommunikation führte.

Sicher ist: Die Lapsus$-Hacker haben keinen Respekt vor grossen Namen. Im Gegenteil. Sie nehmen gezielt Marktführer und Techgiganten ins Visier, wie ein am 10. März bei Telegram veröffentlichter Aufruf zeigt. Demnach sollen Firmen-Insider den Hackern Zugänge zu geschützten IT-Systemen vermitteln. Falls gewünscht gegen Bezahlung, wie es heisst.

screenshot: telegram

Zuletzt hat es nun Microsoft erwischt.

Diese Woche kündigte Lapsus$ via Telegram an, den Quellcode für Bing, Cortana und andere Microsoft-Software geleakt zu haben. Die Gruppe behauptet, sie habe die Daten von Microsofts internem Azure-DevOps-Server gestohlen.

Azure Devops? Das ist eine von Microsoft betriebene Software-Entwicklungsplattform, die früher als «Visual Studio Team Services» bekannt war. Über sie können auch riesige Software-Projekte geplant und verwaltet werden.

Am frühen Sonntagmorgen veröffentlichte die Lapsus$-Bande einen Screenshot auf ihrem Telegram-Kanal, der belegen sollte, dass sie Microsoft tatsächlich bestohlen hatten. Am Montag legten die Kriminellen nach und veröffentlichten 37 Gigabyte an Quellcode, angeblich zu rund 250 Projekten.

In einem am Dienstagabend veröffentlichten Blogbeitrag bestätigt Microsoft, dass eines seiner Mitarbeiterkonten kompromittiert wurde. Dadurch sei «eingeschränkter Zugriff auf Quellcode-Repositories» gewährt worden.

Das Unternehmen versichert, der Diebstahl von Source-Code stelle kein Sicherheitsrisiko für die User dar.

«Microsoft verlässt sich nicht auf die Geheimhaltung von Code als Sicherheitsmassnahme, und die Einsicht in den Quellcode führt nicht zu einer Erhöhung des Risikos.»
quelle: microsoft.com

Wen hat Lapsus$ bereits attackiert?

Die Liste der Opfer wird länger und länger. Darunter sind einige der bekanntesten Techkonzerne zu finden:

  • LG Electronics (Südkorea, weltweit der drittgrösste Haushaltsgeräte-Hersteller)
  • Microsoft (USA, weltweit grösster Softwarehersteller, die Authentizität der geleakten Daten wurde laut Berichten von unabhängigen Fachleuten bestätigt)
  • Nvidia (USA, einer der grössten Entwickler von Grafikprozessoren und Chipsätzen für PCs, Server und Spielkonsolen, die Attacke wurde offiziell bestätigt)
  • Okta (USA, Cloud-Identitäts- und Zugriffsmanagement)
  • Samsung (Südkorea, einer der grössten Elektronikkonzerne weltweit, das Unternehmen hat die Attacke bestätigt)
  • Ubisoft (Frankreich, grösster Videospielkonzern Europas, das Unternehmen bestätigte einen «Sicherheits-Vorfall»)
  • Vodafone (UK, zweitgrösstes Mobilfunkunternehmen der Welt, nach der Attacke haben die Betroffenen in den USA eine interne Untersuchung angekündigt)

Interessant: Die allerersten publik gemachten Hackerangriffe, respektive die Datendiebstähle und spätere Leaks, betrafen ausschliesslich portugiesischsprachige Ziele.

Im Dezember und Januar hackte und erpresste die Gruppe unter anderem das brasilianische Gesundheitsministerium, den portugiesischen Mediengiganten Impresa, die südamerikanischen Telekommunikations-Provider Claro und Embratel sowie die brasilianische Autovermietung Localiza. Zuletzt erwischte es dann – neben Microsoft – auch noch den argentinischen E-Commerce-Giganten Mercado Libre.

Wer steckt dahinter ?

Das ist nicht öffentlich bekannt.

Bei Telegram gibt es Hinweise, die auf Brasilien als Operationsbasis schliessen lassen. Jedenfalls hat Lapsus$ kürzlich auf ein brasilianisches Online-Medium verlinkt. Und zwar auf einen Bericht, dass Telegram dort verboten würde.

Wie weiter oben aufgeführt, hatte die Gruppe zunächst ausschliesslich portugiesischsprachige Ziele attackiert.

Laut eines «Wired»-Berichts vermuten Sicherheitsforscher, dass Lapsus$ seinen Sitz in Südamerika hat, möglicherweise in Brasilien, und sie sagten, dass die Gruppe auch einige Mitglieder in Europa haben könnte, vielleicht in Portugal.

Ist Lapsus$ eine Ransomware-Bande?

Nein. Auch wenn es dies in Berichten fälschlicherweise immer wieder heisst, ist Lapsus$ keine Ransomware-Bande. Sie arbeitet nicht mit Verschlüsselungstrojanern, um die Daten der Opfer zu verschlüsseln und Lösegeld zu erpressen. Und sie betreibt auch keine Leak-Site im Darknet, also keine Webseite, die übers Anonymisierungs-Netzwerk-Tor erreichbar ist.

Was die Angriffsmethoden betrifft, hat Lapsus$ laut Microsoft-Sicherheitsteam einiges auf dem Kasten:

  • Telefonbasiertes Social Engineering;
  • SIM-Swapping zur Erleichterung der Kontoübernahme;
  • Zugriff auf persönliche E-Mail-Konten von Mitarbeitern in Zielorganisationen;
  • Bezahlen von Mitarbeitern, Lieferanten oder Geschäftspartnern von Zielorganisationen für den Zugriff auf Anmeldeinformationen und die Genehmigung der Multifaktor-Authentifizierung (MFA).

Was will die Gruppe erreichen?

Man könnte annehmen, den kriminellen Hackern gehe es wie Ransomware-Banden um Profit. In einem im Dezember bei Telegram veröffentlichten Posting schrieben sie:

«Denkt daran: Das einzige Ziel ist Geld, unsere Beweggründe sind nicht politisch.»
Lapsus$quelle: telegram

Tatsächlich sind die Beweggründe nicht klar.

Lapsus$ scheine eher ein loses Kollektiv zu sein als eine disziplinierte Organisation, konstatierte das «Wired»-Magazin. In dem Mitte März veröffentlichten Artikel wird Xue Yin Peh, ein leitender Analyst für Cyber-Bedrohungen bei der Sicherheitsfirma Digital Shadows, zitiert. Dieser sagte, es gebe noch keine Hinweise darauf, dass die Gruppe Ransomware zur Erpressung ihrer Opfer einsetze. Daher könne man auch nicht bestätigen, dass Lapsus$ finanziell motiviert sei.

«Zum jetzigen Zeitpunkt ist es schwierig, mit Sicherheit zu sagen, was die Beweggründe der Gruppe sind.»
Xue Yin Peh, Digital Shadows
«Sie prahlen vor ihren Freunden, und wenn sie Geld bekommen, nehmen sie es, aber Geld scheint nicht der einzige oder gar wichtigste Antrieb zu sein. Ein betroffenes Unternehmen, das mit ihnen verhandeln möchte und möglicherweise darüber nachdenkt, sie zu bezahlen, wird wahrscheinlich nicht das erhoffte Ergebnis erzielen.»
Charles Carmakal, Mandiantquelle: wired.com

Das Vorgehen erinnere ihn sehr an die Lulzsec-Leute und sogar an Anonymous in früheren Zeiten, zitiert «Wired» den IT-Sicherheitsexperten Charles Carmakal, der Chief Technical Officer bei der Cybersicherheitsfirma Mandiant ist.

Dies illustriert auch die Attacke auf den Chiphersteller Nvidia. Hier wurden durch Lapsus$ nicht nur grosse Datenmengen geleakt, darunter Konstruktionspläne und Source-Code. Die Angreifer versuchten darüber hinaus auch, das Opfer zu demütigen, indem sie unmögliche Forderungen stellten.

So verlangten sie vom Unternehmen, es solle alle seine Treiber-Software für die Betriebssysteme Linux, macOS und Windows unter einer entsprechenden Lizenz als Open Source, respektive freie Software (FOSS) zu veröffentlichen.

Was ist sonst noch speziell bei Lapsus$?

Im Gegensatz zu den Ransomware-Banden betreiben die Hacker keine Leak-Site im Darknet, um Druck auf die Opfer auszuüben und gestohlene Datensätze zu veröffentlichen. Stattdessen kommuniziert Lapsus$ ausschliesslich über einen eigenen Kanal beim Messenger-Dienst Telegram. Der Kanal hat mittlerweile mehr als 36'000 Abonnenten.

Eines der Markenzeichen von Lapsus$ sei die Durchführung von Umfragen auf dem eigenem Telegram-Kanal. Da könnten die Besucherinnen und Besucher abstimmen, wessen Daten die Bande als Nächstes veröffentlichen solle.

Die Erpressergruppe nutze ihre sehr aktiven Telegramm-Kanäle, um neue Leaks und Hackerangriffe anzukündigen und mit ihren Fans zu chatten, schreibt Bleeping Computer, «und sie scheinen die Bekanntheit zu geniessen».

Das Dürsten nach Bekanntheit mache Lapsus$ besonders rücksichtslos und gefährlich, konstatiert der IT-Sicherheitsexperte Carmakal. Sie verschlüsselten zwar keine Systeme, löschten aber Dateien und virtuelle Maschinen und verursachten im Allgemeinen «eine ganze Menge Chaos».

Lapsus$ droht denn auch ein ähnliches Ende wie einst dem berüchtigten Hackerkollektiv Lulzsec. Dieses hatte ab Mai 2011 mit spektakulären Aktionen für Aufregung gesorgt – bis das FBI zuschlug und führende Köpfe verhaftete.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.

Nordkoreas berüchtigte Hacker – so arbeitet die Lazarus Group

1 / 24
Nordkoreas berüchtigte Hacker – so arbeitet die Lazarus Group
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Ehemalige Facebook-Mitarbeiterin enthüllt Geheimnisse

Video: watson

Abonniere unseren Newsletter

9 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
9
Nach Ukraine-Video: Schweizer Top-Militär löscht Social-Media-Profil – das steckt dahinter
Der stellvertretende Chef des militärischen Nachrichtendienstes tritt ins Rampenlicht und vermittelt in einem Video «Erkenntnisse aus dem Ukraine-Krieg». Sein LinkedIn-Profil lässt er lieber im Dunkeln.

Ein von der Schweizer Armee veröffentlichtes «Erklärvideo» zum Ukraine-Krieg sorgte diese Woche für Schlagzeilen.

Zur Story