在不到半年里，骇客组织 Lapsus$ 四处搞事，从巴西政府骇到 NVIDIA，现在又骇了微软。不过，现在传出藏在 Lapsus$幕后的，可能是个16岁的英国少年。

最近，那个勒索 NVIDIA 的 Lapsus$， 又把微软给骇了！ 

在过去几个月里，Lapsus$ 可谓是声名鹊起。 NVIDIA 、三星、沃达丰、育碧等等都惨遭毒手。 

而这里面最惨的，就属 NVIDIA 了。 

毕竟被放出程式码，而且档案大小还高达75GB的，也仅此一家。 不过，距离「最后通牒」也已经过了小半个月，却不见 Lapsus$ 有进一步的动作。 

对于微软这家商业软体巨头来说，目前 Lapsus$ 还尚未向提出任何要求。 

微软也难逃厄运

周日清晨，Lapsus$ 在 Telegram 上发布了一张内部程式库的截图，内容似乎是从微软云端运算部门 Azure 的内部开发人员帐户中骇进去得到的讯息。 

图中的 Azure DevOps 资源库包含了 Cortana 和各种 Bing 计画的程式码。 

Lapsus$ 表示，Bing 地图的程式码已经完成了90%的转储，Cortana 和 Bing 的程式码完成了45%。 

Bing_STC-SV：计画包含矽谷办公室各种Bing工程计画的程式码

Bing_Test_Agile：使用敏捷模板的Bing的测试计画

Bing_UX: Bing.com 前台（SNR）和其他相关的使用者体验程式库

BingCubator ：BingCubator团队

Bing-程式码：用于储存所有 Bing 程式码的中心计画

Compliance_Engineering: WebXT 合规工程团队计画

Cortana: 所有与 Cortana 相关的程式码和工作计画

奇怪的是，勒索团伙在截图中留下了登录使用者的首字母「IS」。 这基本上就是直接为微软指明了被攻击的帐户。 

不知道是不是意识到了这一点，在发布截图后不久，Lapsus$ 就把帖子撤了下来。取而代之的是一条讯息：「暂时删除，以后再发。」 

首字母的暴露很有可能也意味着 Lapsus$ 不再有登入该资料库的权限。 当然，也不排除 Lapsus$ 只是在单方面嘲弄微软。 

众所周知，Lapsus$ 对以前的受害者也是如此。 

不过，安全公司 Darktrace 的全球威胁分析主管 Toby Lewis 则更为审慎：「除了内部开发人员仪表板的截图之外，没有任何进一步的证据。虽然 Lapsus$ 曾成功地入侵过大型机构，但截图为我们提供的讯息非常少。」 

程式码泄露，问题不大

虽然程式码的泄露会让软体中的漏洞更容易被发现，但微软先前曾表示，他们的威胁模型假定威胁者已经了解他们的软体是如何工作的，无论是透过逆向工程解析还是以前的程式码泄露，都不会造成风险的提升。 

「在微软，我们有开发内部程式码的独特方式，透过类似开源界的文化、和从开源界得来的最佳经验，来开发微软内部的程式码。这意味着我们不依靠程式码的保密性来保证产品的安全，我们的威胁模型假定攻击者对程式码有了解。」微软在一篇关于 SolarWinds 攻击者获得其程式码的文章中解释道，「所以查看程式码并不与风险的提升挂钩。」 

不过，程式库通常还包含令牌、凭证、API密钥，甚至是程式码签名证书。 当 Lapsus$ 攻破 NVIDIA 并发布他们的数据时，它还包括程式码签名证书，其他威胁者很快就用它来签署他们的恶意软体。 

而使用 NVIDIA 的程式码签署证书则会导致反病毒引擎信任可执行文件，而不将其检测为恶意软体。 

对此，微软曾表示，他们有一项开发政策，禁止将API密钥、凭证或访问令牌等「秘密」纳入程式库中。 

ETH单双博彩（www.eth888.vip）采用以太坊区块链高度哈希值作为统计数据，ETH单双博彩数据开源、公平、无任何作弊可能性。

即使是这样，也不意味着程式码中没有包括其他有价值的数据，比如私人加密密钥或其他专有工具等。 

目前还不知道这些包含了什么，但正如对以前的受害者所做的那样，Lapsus$ 泄露被盗的数据只是时间问题。 

透过钓鱼与直接买密码攻击目标

与公众之前了解的许多勒索集团不同，Lapsus$ 并没有在受害者的设备上部署勒索软体。 

相反，他们的目标是大公司的源程式码库，窃取他们的专有数据，然后试图以数百万美元的价格将这些数据「卖」给受害公司。 

据称 Lapsus$ 正在四处招揽大型科技企业的内线，让这些内部员工透露敏感讯息。 

3月10日在社群网站上写道，「我们在以下公司招聘员工/内部人员！！！！」 ，该声明随后列出了它希望渗透的公司名单，其中包括苹果、IBM 和微软。 

骇客组织在贴文中描述了要求叛变员工帮助访问目标公司网路的特定方式： 

「请注意：我们不是在直接索取数据，我们正在寻找内部员工来提供他们公司的内网 VPN 或 CITRIX 的外网接口，或一些 AnyDesk 的远端登录权限。」 

据网路安全企业的推断，该骇客团伙的攻击方式除了这种直接购买登陆密码与接口外，就是经典的钓鱼攻击、获得目标网路的网路验证。 

老办法一般是久经考验的好办法，这些方式能让攻击者在目标网路中潜伏数周而不被发觉。 

Lapsus$ 在骇客团伙中的独特之处，在于社群媒体建立形象并发声。除了钱以外，该组织还想要名声。 

Lapsus$ 并不常对被攻破系统直接加密、进行勒索软体攻击，而是威胁要泄露它已经窃取的讯息，除非受害者乖乖给钱。 

该组织要钱的方式与要求时常变幻，应该单纯是为名利所驱动，没有政治动机或国家级实体赞助者。 但就是这种贪得无厌死要钱的网路劫匪最不会销声匿迹，网路安全企业估计它们之后的攻击会越发频繁。 

这个自称只受金钱驱使的骇客组织，在成功攻击了巨头 NVIDIA 和三星之后，获得了自信并扩大了野心。 

16岁自闭症男孩带队？

Lapsus$ 在骇客界还算是一个「新人」。 

2021年年底，Lapsus$ 的活动被首次曝光，其目标是巴西和葡萄牙的公司。 

首先是巴西卫生部、葡萄牙媒体公司 Impresa、南美电信公司 Claro 和 Embratel，以及葡萄牙议会等等。 

不过，据网友透露，Lapsus$ 的活动可能要追溯到2021年6月。 在地下论坛帖子中，一位使用者写道：「针对游戏巨头EA的骇客攻击，要归功于 Lapsus$， 更多的内容会被泄露。」 

之后，EA的游戏FIFA 21程式码被公开。 

在2022年3月的育碧被骇事件中，Lapsus$ 也暗示自己是幕后的主使。 

最近的网路地下世界争斗，更是为集团成员的隐秘身份揭开了一角。 

据称，该组织的头目是一名居住在英国的16岁自闭症少年男子。他在 Dark web 上的常用ID一般是 SigmA、wh1te、Breachbase 和 Alexander Pavlov。 

这是在ID为 SigmA 的使用者在购买 doxbin 后回售给原网站拥有者不果后被曝出的。在交涉失败后，有人爆料 SigmA 就是 Lapsus$ 的头目，并称其已被捕。 

之后 Lapsus$ 的社群网站频道辟谣，称SigmA没有被捕，如此证实了 SigmA/Alexander Pavlov 的确是 Lapsus$ 首脑的推测。 

网路安全企业也发现，在 SigmA 拥有d oxbin 网站时，托管 doxbin 的子网与托管当时 Lapsus$ 主网站的子网是同一个。 

这可真是后生可畏、前途无亮啊…… 

参考资料：

https://www.bleepingcomputer.com/news/security/microsoft-investigating-claims-of-hacked-source-code-repositories/

https://www.vice.com/en/article/y3vk9x/microsoft-hacked-lapsus-extortion-investigating

https://www.silentpush.com/blog/lapsus-group-an-emerging-dark-net-threat-actor