Hevder hackeren bak angrep på Microsoft og Nvidia er en 16-åring fra Oxford

Hackergruppen Lapsus$ har etter hvert blitt kanskje det mest beryktede navnet på nett, etter angrep mot en rekke profilerte selskaper. Nå hevdes det at hovedmannen bak er en tenåring fra England.

Fire cybersikkerhetsforskere som har sett på nylige angrep mot teknologiselskaper som Nvidia og Microsoft har kommet til at «mesterhjernen» bak angrepene er en 16-åring som bor sammen med moren sin nær Oxford i England. Det skriver Bloomberg.

16-åringen hevdes å være hovedmannen bak hackergruppen Lapsus$, som senest denne uken kom i fokus etter at de hevdet å ha angrepet innloggingstjenesten Okta. Der postet de skjermdumper av det som skulle være interne systemer, og fikk tusenvis av selskaper som bruker Okta til å øke beredskapen - deriblant Schibsted, som eier Tek.no.

Går under navnet «White»

Sikkerhetsforskerne skal ha brukt bevis som er lagt igjen av hackerne, i tillegg til offentlig tilgjengelig informasjon, for å peke ut hvem han er. Hackeren skal gå under aliasene «White» eller «breachbase», og rivaliserende hackere har gått så langt som å legge ut informasjon om ham, hvor han bor og hvem foreldrene hans er på nett.

Bloomberg skriver at de tok kontakt med en kvinne på adressen som presenterte seg som moren til gutten, men at hun ikke ville snakke om ham og sa at saken hørte hjemme hos politiet.

Hackeren beskrives som så rask og kompetent at analytikerne først trodde aktiviteten de så var automatisert, skriver Bloomberg. Totalt klarte de å peke ut syv unike kontoer som hadde tilknytning til Lapsus$, deriblant en annen tenåring i Brasil.

Nettstedet har forsøkt å skaffe kommentarer fra både Thames Valley Police, det britiske National Crime Agency og FBI-kontoret i San Francisco. De to førstnevnte har ikke svart, og sistnevnte ønsket ikke å kommentere.

Skaffet seg Microsoft-kode

Microsoft er altså det siste store selskapet som skal ha blitt offer for Lapsus$’ herjinger. Gruppen hevdet tidligere denne uken at de hadde stjålet kildekode fra Microsofts søkemotor Bing, taleassistenten Cortana og andre interne Microsoft-prosjekter fra en server, og postet skjermdumper som skulle bekrefte dette.

I et blogginnlegg skriver Microsoft at deres undersøkelser har vist at hackerne hadde skaffet seg tilgang til én enkelt konto, med «begrenset tilgang».

– Microsoft lener seg ikke på å holde kildekode hemmelig som et sikkerhetstiltak, og det å se kildekode gir ikke økt risiko, skriver selskapet.

I blogginnlegget forteller også Microsoft om hva de har lært av å analysere DEV-0537, som er deres interne navn for Lapsus$, de siste ukene. De beskriver hvordan gruppen er kjent for å bruke en taktikk med ren utpressing og ødeleggelse, uten å benytte seg av såkalt «ransomware».

Ransomware, eller løsepengevirus på norsk, er en type angrep hvor man får satt inn programvare i offerets datamaskiner som krypterer alt innholdet slik at det blir ubrukelig, og så krever man løsepenger for å få tilgang til krypteringsnøkkelen og låse opp dataene.

En skjermdump som viser hvordan Lapsus$ forsøker å rekruttere ansatte i ulike selskaper for å gi dem tilgang til interne systemer.

Fikk andre hackere mot seg

Microsoft beskriver også hvordan Lapsus$ skiller seg fra mange andre hackergrupper ved at de ikke går inn for å dekke sine spor.

– De går så langt som å annonsere angrepene sine på sosiale medier eller reklamerer for en intensjon om å kjøpe akkreditering fra ansatte i organisasjonene de går etter.

Sikkerhetsekspert Brian Krebs skriver i en egen bloggpost at en hacker ved navn «WhiteDoxbin» skal ha tilbudt ansatte i de amerikanske mobiloperatørene T-Mobile, Verizon og AT&T 20.000 dollar (omtrent 175.000 kroner) i uken, blant annet for å bytte noen SIM-kort i telefoner.

Han beskriver også hvordan WhiteDoxbin, som skal være den nevnte 16-åringen, kjøpte nettstedet Doxbin på et tidligere tidspunkt. Doxbin er et nettsted hvor man kan poste personlig informasjon om andre, men WhiteDoxbin var visstnok en så dårlig administrator for nettstedet at han endte opp med å måtte selge det tilbake til den tidligere eieren.

Før han gjorde det, lekket han imidlertid hele Doxbin-databasen på nett, inkludert tidligere upubliserte opplysninger, noe som fikk Doxbin-samfunnet til å vende seg mot ham og «doxe» ham selv, altså legge ut hans personlige opplysninger på nett. Krebs skriver for øvrig at vedkommende skal være 17 år, ikke 16.

Stjeler og kjøper passord

Hackerne benytter seg blant annet av en passordstjeler kalt Redline, de kjøper brukernavn og passord fra undergrunnsforum på nett, og i noen tilfeller betaler de rett og slett ansatte, leverandører eller andre businesspartnere for tilgang til brukernavn, passord og tofaktorautentisering, ifølge Microsoft.

I noen tilfeller tar de seg også inn i interne videomøter, Slack-samtaler og liknende for å se hvordan selskapene vil svare på trusselen, og i noen tilfeller har de også ringt til selskapenes interne brukerstøtte for å forsøke å få dem til å tilbakestille brukernavn og passord for kontoer de vet har hatt tilgang til systemer.

I verste fall skaffer hackerne seg tilgang til et selskaps nettsky-vert, som Amazon Web Services eller Microsoft Azure, og så lager de seg en egen admin-konto og sletter alle andre, slik at de har full og eksklusiv tilgang til alle nettskydata. Etter å ha kopiert ut innholdet, velger Lapsus$ i mange tilfeller rett og slett å slette alle dataene.

I noen tilfeller bruker hackerne de stjålne dataene til å utpresse selskapet for penger, i andre tilfeller har de tilsynelatende bare offentliggjort dataene på nett. Motivet bak skal være både penger og rykte, hevdes det.

Microsoft kommer så med en lang liste over både anbefalinger og ting selskaper ikke bør gjøre, som for eksempel å bruke koder på SMS som metode for tofaktorautentisering.

Varslet pause

Okta meldte tirsdag kveld at de har konkludert med at omtrent 2,5 prosent av deres kunder potensielt hadde fått dataene sine eksponert etter angrepet. De skriver i en melding at de har identifisert disse kundene og gitt dem beskjed på epost. Selve Okta-tjenesten skal ikke ha vært rammet direkte, meldte tjenesten, og derfor var det ikke nødvendig med «korrigerende handlinger» fra øvrige kunder.

Fra før skal hackerne blant annet ha stjålet 200 GB med interne data fra Samsung, nærmere en terabyte med data fra Nvidia og data fra andre store selskaper som Vodafone og Ubisoft. Etter at de offentliggjorde påstanden om å ha hacket Okta tidligere denne uken, varslet Lapsus$ på meldingstjenesten Telegram at de ville ta en liten siesta.

«Noen få av våre medlemmer har ferie til 30. mars. Det kan hende at vi forholder oss stille en tid. Takk for forståelsen - vi vil prøve å lekke ting så raskt som mulig», skrev de ifølge Bloomberg.