MicrosoftやSamsungを攻撃したハッカー集団「LAPSUS$」に関連したとして16歳のティーンエイジャーを含む7人の若者が逮捕される
MicrosoftやSamsung、NVIDIA、Oktaなど数多くの大企業に攻撃を仕掛けたことで話題を集めているハッカー集団「LAPSUS$」の捜査に関連して、ロンドン市警察が16歳~21歳の若者7人を逮捕したと報じられました。LAPSUS$のリーダーについては「イギリスに住む17歳の少年である」と推測されていますが、今回逮捕された7人の中にこの少年が含まれているかどうかは不明です。
Seven teenagers arrested in connection with the Lapsus$ hacking group - The Verge
https://www.theverge.com/2022/3/24/22994563/lapsus-hacking-group-london-police-arrest-microsoft-nvidia
Lapsus$ suspects arrested for Microsoft, Nvidia, Okta hacks
https://www.bleepingcomputer.com/news/security/lapsus-suspects-arrested-for-microsoft-nvidia-okta-hacks/
LAPSUS$は2020年頃から南米を中心に活動していましたが、2022年頃からはMicrosoftやSamsungなど国際的なハイテク企業に標的を移しています。セキュリティ関連ブログのKrebs on Securityによると、LAPSUS$は多くの攻撃において「ソーシャルエンジニアリング」を用いて不正アクセスを実行しているとのこと。LAPSUS$が行うソーシャルエンジニアリングには、ターゲット内部の従業員やヘルプデスクなどの関係者をだましたり、買収してグループに引き入れたりする手口が含まれています。
A Closer Look at the LAPSUS$ Data Extortion Group – Krebs on Security
https://krebsonsecurity.com/2022/03/a-closer-look-at-the-lapsus-data-extortion-group/
以下の画像は、LAPSUS$のリーダーである「Oklaqq」が投稿したソーシャルエンジニアリングの共犯者を募集するメッセージです。OklaqqはATT・Verison・T-Mobileといった通信事業者の従業員に対し、最大で週2万ドル(約240万円)の報酬を支払う代わりに、ターゲットのSIMカードを乗っ取る「SIMスワッピング」という詐欺に加担するように要求しています。
LAPSUS$はSIMスワッピングを通じてターゲットのSMSや音声通話などを傍受することにより、従業員や電子メールアカウントのリセットにおける2段階認証を突破し、アカウントを乗っ取っているそうです。多くのハイテク企業は自社のサイバーセキュリティに気を配っているものの、電話ベースのソーシャルエンジニアリングを用いたハッキングには慣れていないとのこと。
そんなLAPSUS$のリーダーについては、「WhiteDoxbin」あるいは「Oklaqq」というIDで活動するイギリス在住の17歳の少年である可能性が高まっています。この少年は、他人の個人情報を公開・共有する「Doxbin」というウェブサイトの運営を巡って敵対したハッカーにより、本名・自宅の住所・生年月日・学歴・本人や家族のプライベートな写真まで開示されていますが、海外メディアは未成年であることから本名などの報道を差し控えています。
Microsoftなどにハッキングを仕掛けたハッカー集団「LAPSUS$」の中心人物として10代の容疑者が浮上 - GIGAZINE
「WhiteDoxbin」の父親とされる人物が海外メディアのBBCに語ったところによると、少年がLAPSUS$と関係があることは知らず、これまでハッキングについて話したこともなかったとのこと。「息子はコンピューターに詳しくて、非常に長い時間をコンピューターに費やしています」「私は息子がゲームをやっているのだと思っていました。私たちは息子がコンピューターを使うのをやめさせるつもりです」と父親は語りました。
そんな中、ロンドン市警察がLAPSUS$に関係する若者らを逮捕したことが報じられました。ロンドン市警察のMichael O’Sullivan捜査官は海外メディアのThe Vergeに対し、「ロンドン市警察はハッキンググループのメンバーについて、パートナーと共に捜査を行っています。16~21歳の7人が捜査に関連して逮捕され、全員が捜査の下で釈放されました。私たちの捜査は継続中です」とコメントしました。今回逮捕された7人の中に「WhiteDoxbin」が含まれているかどうかはわかっていません。
なお、今回の逮捕と関係があるかどうかは不明なものの、LAPSUS$は3月23日に「一部のメンバーが2022年3月30日まで休暇を取る」と報告しています。
ZoomのセキュリティエンジニアであるBill Demirkapi氏は、LAPSUS$のメンバーがMicrosoftのハッキング中に、内部開発環境にアクセスしたことを自慢する投稿を行っていたと報告しています。テクノロジー系メディアのBleeping Computerは、LAPSUS$が運用上のセキュリティミスをいくつか犯していると指摘し、こうした詰めの甘さがメンバーの身元特定につながった可能性があると述べました。
The LAPSUS$ ransomware group appear to be incredibly inexperienced with OPSEC. They posted their message boasting about access to Microsoft's internal DevOps environment *while still exfiltrating source code*. We can tell by looking at the timestamp of the files in their leak. ????♂️ https://t.co/NaU38cypUw pic.twitter.com/AryXJS12A1
— Bill Demirkapi @ ShmooCon (@BillDemirkapi) March 22, 2022
・関連記事
Microsoftなどにハッキングを仕掛けたハッカー集団「LAPSUS$」の中心人物として10代の容疑者が浮上 - GIGAZINE
NVIDIAが機密情報をハッキンググループに盗まれたことを認める、「GPUのマイニング制限を撤廃しろ」との脅しも - GIGAZINE
数多くの大企業を襲って注目を集めるハッカー集団「LAPSUS$」がアクセス管理企業のOktaにハッキングを仕掛けたことが判明 - GIGAZINE
Microsoftのソースコードがハッカー集団「LAPSUS$」に盗まれ37GB分がネット上へ流出、Microsoftもハッキング被害を認める - GIGAZINE
Samsungが190GB分の機密データをハッキングされる - GIGAZINE
・関連コンテンツ
in セキュリティ, Posted by log1h_ik
You can read the machine translated English article Seven young people arrested, including a….