همه چیز راجب حملات LAPSUS$

در ماه‌های اخیر، یک باند سایبری به نام LAPSUS$ مسئولیت تعدادی از حملات پرمخاطب علیه شرکت‌ های فناوری را گردن گرفتند، از جمله:

• T-Mobile (April 23, 2022
• Globant
• Okta
• Ubisoft
• Samsung
• Nvidia
• Microsoft
• Vodafone

علاوه بر این حملات، LAPSUS$ توانست با موفقیت یک حمله باج افزار را علیه وزارت بهداشت برزیل انجام دهد.

در حالی که حملات سایبری پرمخاطب مطمئنا چیز جدیدی نیستند، چندین چیز وجود دارد که LAPSUS$ را منحصر به فرد می کند، برای مثال:

– طراح اصلی این حملات و چندین همدست دیگر ادعا شده، همگی نوجوانان بودند.

– برخلاف باج افزارهای قدیمی تر، LAPSUS$ حضور بسیار قوی در رسانه های اجتماعی دارد.

– این باند بیشتر برای استخراج داده ها شناخته شده است که Source Code و سایر اطلاعات اختصاصی را به سرقت برده است و اغلب این اطلاعات را در اینترنت منتشر میکند.

اطلاعات سرقت شده توسط LAPSUS$

به عنوان مثال، در مورد Nvidia، هکرها به صدها گیگابایت داده اختصاصی، از جمله اطلاعات مربوط به Chip هایی که این شرکت در حال توسعه است، دسترسی پیدا کردند. ناراحت کننده تر از آن این است که LAPSUS$ ادعا می کند که اعتبار هزاران کارمند Nvidia را به سرقت برده است. تعداد دقیق اعتبارنامه های سرقت شده تا حدودی نامشخص است و سایت های خبری فناوری مختلف اعداد متفاوتی را گزارش می کنند. با این حال، Specops توانست تقریباً 30000 رمز عبور را که در این رخنه به خطر افتاده بودند، به دست آورد.

افزایش اخاذی سایبری

دو نکته مهم در حملات LAPSUS$ وجود دارد که سازمان ها باید به آنها توجه کنند. اول، حملات LAPSUS$ به وضوح نشان می‌ دهد که باند های مجرمان سایبری دیگر راضی به انجام حملات باج‌ افزاری معمولی نیستند. به‌ جای رمزگذاری داده‌ ها که اغلب در گذشته انجام می‌ شد، به نظر می‌ رسد LAPSUS$ بسیار بیشتر بر اخاذی سایبری متمرکز شده است. LAPSUS$ به ارزشمندترین مالکیت یک سازمان دسترسی پیدا می کند و تهدید می کند که اطلاعات را افشا می کند مگر اینکه باج پرداخت شود.

با لو رفتن Source Code یک شرکت فناوری، Roadmap محصول یا داده‌ های در حال تحقیق و توسعه، آسیب‌ های جبران‌ ناپذیری را متحمل شود، به خصوص اگر این داده‌ها در اختیار رقبا قرار گیرد.

اگرچه حملات LAPSUS$ تاکنون عمدتاً بر شرکت های فناوری متمرکز شده است،اما هر سازمانی می تواند قربانی چنین حمله ای شود. به این ترتیب، همه شرکت ها باید به دقت بررسی کنند که چه کاری می توانند انجام دهند تا حساس ترین داده های خود را از دست مجرمان سایبری دور نگه دارند.

رمزهای عبور ضعیف

نکته مهم دیگر در حملات LAPSUS$ این بود که اگرچه هیچ اطلاعات قطعی در مورد نحوه دسترسی مهاجمان به شبکه های قربانی خود وجود ندارد، اما لیست اعتبارنامه های فاش شده Nvidia که توسط Specops به دست آمده است به وضوح نشان می دهد که بسیاری از کارمندان از رمزهای عبور بسیار ضعیف استفاده می کردند. برخی از این رمزهای عبور کلمات رایج (Welcome، Password، September و …) بودند که به شدت در معرض حملات دیکشنری هستند. بسیاری از رمزهای عبور دیگر شامل نام شرکت به عنوان بخشی از رمز عبور (nvidia3d، mynvidia3d، و …) می شود. حداقل یک کارمند حتی پا را فراتر گذاشته و از کلمه Nvidia به عنوان رمز عبور خود استفاده کرده است!

در حالی که کاملاً ممکن است مهاجمان از یک روش نفوذ اولیه استفاده کنند که مبتنی بر استفاده از اعتبارنامه‌ های جمع‌ آوری شده نبوده است، اما به احتمال زیاد این اعتبار ضعیف نقش محوری اصلی در حمله داشته است.

البته این سوال را ایجاد می کند که شرکت های دیگر چه کاری می توانند انجام دهند تا کارمندان خود را از استفاده از رمزهای عبور ضعیف مشابه جلوگیری کنند و سازمان را در برابر حملات آسیب پذیر کنند. تنظیم یک خط محوری رمز عبور که به گذرواژه های طولانی و پیچیده نیاز دارد، شروع خوبی است، اما کارهای بیشتری وجود دارد که شرکت ها باید انجام دهند.

محافظت از سازمان خود در برابر حمله مشابه

یکی از اقدامات کلیدی که سازمان ها می توانند برای جلوگیری از استفاده از رمزهای عبور ضعیف استفاده کنند، ایجاد یک دیکشنری سفارشی از کلمات یا عباراتی است که مجاز به استفاده به عنوان بخشی از رمز عبور نیستند. به یاد داشته باشید که در حمله Nvidia، کارمندان اغلب از کلمه Nvidia به عنوان رمز عبور خود یا به عنوان جزئی از رمز عبور خود استفاده می کردند.

یکی دیگر از راه‌ های مهم‌ تر که یک سازمان می‌ تواند از استفاده از رمزهای عبور ضعیف جلوگیری کند، ایجاد یک چهارچوب برای جلوگیری از استفاده کاربران از هر رمز عبوری است که به بیرون درز کرده است. هنگامی که یک رمز عبور فاش می شود، آن رمز عبور هش می شود و هش معمولاً به پایگاه داده هش رمز عبور اضافه می شود. اگر یک مهاجم یک هش رمز عبور به دست آورد، می‌تواند به سادگی هش را با پایگاه داده هش مقایسه کند، و بدون نیاز به انجام یک کرک مبتنی بر فرهنگ لغت یا Brute Force، رمز عبور را به سرعت آشکار کند.

 Specops Password Policy ابزارهایی را در اختیار مدیران قرار می‌ دهد تا اطمینان حاصل کنند که کاربران از استفاده از رمزهای عبور ضعیف یا گذرواژه‌هایی که به خطر افتاده‌اند اجتناب می‌کنند. Specops ایجاد یک چهارچوب رمز عبور مطابق با استانداردهای رمز عبور رایج، مانند استانداردهای تعریف شده توسط NIST را آسان می کند. با این حال، Specops علاوه بر تنظیم طول و پیچیدگی الزامات، به مدیران اجازه می دهد تا فرهنگ لغات کلماتی را ایجاد کنند که نباید به عنوان بخشی از رمز عبور استفاده شوند. علاوه بر این، Specops پایگاه داده ای از میلیاردها رمز عبور فاش شده را نگهداری می کند. گذرواژه‌های کاربر را می‌توان به‌طور خودکار با این پایگاه‌داده بررسی کرد، در نتیجه از استفاده کاربران از رمز عبوری که به خطر افتاده است جلوگیری می‌کند.