İki İngiliz genç, kötü şöhretli LAPSUS$ ulusötesi çetesinin bir parçası oldukları ve büyük teknoloji firmalarına karşı bir dizi arsız, yüksek profilli hack organize ettikleri ve çalınan bilgilerin sızdırılmaması karşılığında fidye talep ettikleri için Londra’daki bir jüri tarafından mahkum edildi.
BBC’nin bu hafta bildirdiğine göre, bunlar arasında Oxford’dan 18 yaşındaki Arion Kurtaj (diğer adıyla White, Breachbase, WhiteDoxbin ve TeaPotUberHacker) ve çevrimiçi tanıştıktan sonra Temmuz 2021’de işbirliği yapmaya başlayan isimsiz bir çocuk da var.
Her iki sanık da ilk olarak Ocak 2022’de tutuklanıp soruşturma kapsamında serbest bırakıldı, ancak Nisan 2022’de yeniden tutuklanıp Londra Şehri Polisi tarafından suçlandı. Kurtaj daha sonra kefaletle serbest bırakıldı ve bir polis operasyonunda kişisel bilgilerinin alınmasının ardından Bicester’da bir otele taşındı. çevrimiçi siber suç forumu.
Ancak Uber, Revolut ve Rockstar Games gibi şirketleri hedef alarak bilgisayar korsanlığı çılgınlığına devam etti ve bunun sonucunda tekrar tutuklandı. Grubun bir başka üyesi olduğu iddia edilen kişi ise Ekim 2022’de Brezilyalı yetkililer tarafından tutuklandı.
Gasp planlarını gerçekleştirmenin temelinde, kapsamlı bir sosyal mühendislik aşamasından sonra kurumsal ağlara izinsiz erişim elde etmek için SIM değiştirme ve hızlı bombalama saldırıları gerçekleştirme yetenekleri vardı.
Mali amaçlı operasyon aynı zamanda kuruluşlara Sanal Özel Ağ (VPN), Sanal Masaüstü Altyapısı (VDI) veya Citrix kimlik bilgileri sağlayabilecek sahtekar içeriden kişileri talep etmek için Telegram kanallarına mesajlar göndermeyi de içeriyordu.
ABD hükümetinin yakın zamanda yayınladığı bir raporda, aktörlerin SIM takas saldırılarını gerçekleştirmek amacıyla telekomünikasyon sağlayıcılarına erişim için haftada 20.000 dolara kadar teklifte bulundukları ortaya çıktı.
İç Güvenlik Bakanlığı’nın (DHS) Siber Güvenlik İnceleme Kurulu (CSRB), “LAPSUS$, sahte SIM takaslarını gerçekleştirmek için kurbanları hakkında adları, telefon numaraları ve müşteriye özel ağ bilgileri (CPNI) gibi temel bilgileri elde etti” dedi. .
“LAPSUS$, telekomünikasyon sağlayıcısı çalışanlarının ve yüklenicilerin hesaplarını ele geçirmek için sahte EDR’ler düzenlemek ve hesap ele geçirme tekniklerini kullanmak da dahil olmak üzere çeşitli yollarla bilgileri öğrendi.”
“Daha sonra telekomünikasyon sağlayıcısının müşteri yönetimi araçları aracılığıyla sahte SIM takasları gerçekleştirdi. Sahte SIM takaslarını gerçekleştirdikten sonra LAPSUS$, SMS veya sesli aramalar yoluyla tek seferlik bağlantılar veya MFA şifreleri gönderen oturum açma ve hesap kurtarma iş akışları aracılığıyla çevrimiçi hesapları ele geçirdi. “
Diğer ilk erişim yöntemleri, ilk erişim aracılarının (IAB’ler) hizmetlerinin kullanılmasından güvenlik açıklarının istismar edilmesine kadar uzanıyordu; bunu takiben aktörler ayrıcalıkları artırmak, ağ üzerinde yanal olarak hareket etmek, uzak masaüstü yazılımı aracılığıyla kalıcı erişim kurmak için adımlar attılar. AnyDesk ve TeamViewer’ı açın ve güvenlik izleme araçlarını devre dışı bırakın.
LAPSUS$’ın sızdığı firmalar arasında BT, EE, Globant, LG, Microsoft, NVIDIA, Okta, Samsung, Ubisoft ve Vodafone yer alıyor. Şu anda ihlal edilen şirketlerden herhangi birinin fidye ödeyip ödemediği belli değil. Gençlerin ileriki bir tarihte cezalandırılması bekleniyor
“Grup, son derece etkili sosyal mühendislik kullanarak iyi savunulan kuruluşlara başarılı bir şekilde saldırdığı, iş süreci dış kaynak kullanımı (BPO’lar) ve telekomünikasyon sağlayıcılarından ödün vererek tedarik zincirlerini hedef aldığı ve operasyonlarını, hedeflerini ve başarılarını tartışmak için halka açık Telegram kanalını kullandığı için ün kazandı. ve hatta hedefleriyle iletişim kurmak ve onları şantaj yapmak için” dedi CSRB.