| Starije izmjene na obje strane
Starija izmjena
Novija izmjena
|
Starija izmjena
|
racfor_wiki:seminari2023:lapsus_grupa_-_tehnike [2024/01/21 12:07]
mkovacic |
racfor_wiki:seminari2023:lapsus_grupa_-_tehnike [2024/12/05 12:24] (trenutno)
|
| ===== Sažetak ===== | ===== Sažetak ===== |
| |
| Ovaj seminar pruža temeljnu analizu kibernetičkih napada izvedenih od strane renomirane hackerske grupe poznate kao Lapsus$. Kroz analizu njihovih povijesnih koraka, motivacija, tehnika napada, i njihovog utjecaja na digitalnu sigurnost, nastojimo shvatiti kompleksnost ove ozloglašene kibernetičke prijetnje te njihovih tehnika napada. | Ovaj seminar pruža temeljnu analizu kibernetičkih napada izvedenih od strane kibernetičke kriminalne grupe poznate kao Lapsus$. Kroz analizu njihovih povijesnih koraka, motivacija, tehnika napada, i njihovog utjecaja na digitalnu sigurnost, nastojimo shvatiti kompleksnost ove ozloglašene kibernetičke prijetnje te njihovih tehnika napada. |
| |
| ===== Uvod ===== | ===== Uvod ===== |
| |
| LAPSUS$ je međunarodna kibernetička kriminalna skupina koja je stekla reputaciju po provođenju kibernetičkih napada s fokusom na iznudu podataka. Prvi puta su privukli pažnju javnosti kada su izveli napad ransomware-a na Ministarstvo zdravstva Brazila u prosincu 2021., ugrozivši podatke o COVID-19 cijepljenju milijuna stanovnika. Nakon toga, grupa je nastavila svoj niz napada, ciljajući velike tehnološke korporacije kao što su Nvidia, Samsung, Microsoft, Vodafone te čak i tvrtka Ubisoft. Njihovi napadi nisu bili ograničeni samo na krađu podataka, poremetili su i usluge tvrtki te stajali iza napada na EA Games. Istražitelji su identificirali tinejdžera iz Engleske kao glavnog organizatora grupe, dok se sumnja da bi drugi član mogao živjeti u Brazilu. Članovi grupe pokazuju izuzetnu vještinu u hakiranju, a jedan od njih je toliko stručan da su istraživači prvotno pomislili da je njegov rad automatiziran. LAPSUS$ se ne drži određene političke skupine ili filozofije, a poznati su po nedostatku profesionalnosti čak i među ransomware bandama. Grupa ne poštuje svoja obećanja o uništenju ukradenih podataka i ne ulaže puno truda u prikrivanje tragova ili skrivanje tehnika. Iako je londonska policija uhitila sedam osoba povezanih s LAPSUS$ u ožujku 2022., samo su dvije osobe optužene. Ironično, grupa koja se bavi "doxxingom" pružila je informacije koje su dovele do uhićenja, no to nije značajno utjecalo na operacije grupe. LAPSUS$ i dalje održava javni profil, redovito komunicira putem Telegrama i e-pošte te nastavlja iznuditi i objavljivati podatke žrtava. | LAPSUS$ je međunarodna kibernetička kriminalna skupina koja je stekla reputaciju po provođenju kibernetičkih napada s fokusom na iznudu podataka. Prvi puta su privukli pažnju javnosti kada su izveli napad ransomware-a na Ministarstvo zdravstva Brazila u prosincu 2021., ugrozivši podatke o COVID-19 cijepljenju milijuna stanovnika. Nakon toga, grupa je nastavila svoj niz napada, ciljajući velike tehnološke korporacije kao što su Nvidia, Samsung, Microsoft, Vodafone te čak i tvrtka Ubisoft. Njihovi napadi nisu bili ograničeni samo na krađu podataka, poremetili su i usluge tvrtki te stajali iza napada na EA Games. Istražitelji su identificirali tinejdžera iz Engleske kao glavnog organizatora grupe, dok se sumnja da bi jedan od članova mogao živjeti u Brazilu. Članovi grupe pokazuju izuzetnu vještinu u hakiranju, a jedan od njih je toliko stručan da su istraživači prvotno pomislili da je njegov rad automatiziran. LAPSUS$ se ne drži određene političke skupine ili filozofije, a poznati su po nedostatku profesionalnosti čak i među ransomware kriminalnim skupinama. Grupa ne poštuje svoja obećanja o uništenju ukradenih podataka i ne ulaže puno truda u prikrivanje tragova ili skrivanje tehnika. Iako je londonska policija uhitila sedam osoba povezanih s LAPSUS$ grupom u ožujku 2022., samo su dvije osobe optužene. Ironično, grupa koja se bavi "doxxingom" pružila je informacije koje su dovele do uhićenja, no to nije značajno utjecalo na operacije grupe. LAPSUS$ i dalje održava javni profil, redovito komunicira putem Telegrama i e-pošte te nastavlja iznuditi i objavljivati podatke žrtava. |
| |
| |
| Malware infekcije predstavljaju ozbiljnu prijetnju kibernetičkoj sigurnosti, a njihov cilj je infiltrirati računalne sustave ili mreže radi izazivanja štete ili krađe osjetljivih informacija. Ovi zlonamjerni softveri, skraćeno malware, obuhvaćaju različite vrste, uključujući viruse, trojance, crve, spyware i adware. Sposobni su se širiti kroz različite kanale, poput zaraženih e-pošti, zlonamjernih web stranica ili zaraženih datoteka. Nakon infiltracije, malware može izazvati različite štetne učinke, poput brisanja podataka, špijuniranja aktivnosti korisnika, ili čak preuzimanja kontrole nad sustavom. | Malware infekcije predstavljaju ozbiljnu prijetnju kibernetičkoj sigurnosti, a njihov cilj je infiltrirati računalne sustave ili mreže radi izazivanja štete ili krađe osjetljivih informacija. Ovi zlonamjerni softveri, skraćeno malware, obuhvaćaju različite vrste, uključujući viruse, trojance, crve, spyware i adware. Sposobni su se širiti kroz različite kanale, poput zaraženih e-pošti, zlonamjernih web stranica ili zaraženih datoteka. Nakon infiltracije, malware može izazvati različite štetne učinke, poput brisanja podataka, špijuniranja aktivnosti korisnika, ili čak preuzimanja kontrole nad sustavom. |
| |
| {{ :racfor_wiki:seminari2023:malware_trojan_horse.jpg?nolink&400 |}}**Slika 3:** Ilustracija malware-a [[https://www.linkedin.com/pulse/what-phishing-attack-dynamic-technical-solutions|Izvor]] | {{ :racfor_wiki:seminari2023:malware_trojan_horse.jpg?nolink&400 |}}**Slika 3:** Ilustracija malware-a [[https://www.expressvpn.com/blog/what-is-malware/|Izvor]] |
| |
| |
| Grupa redovito koristi različite oblike zlonamjernog softvera kako bi prodrli u sustav meta. To uključuje viruse, trojance i ransomware, omogućavajući im pristup osjetljivim informacijama ili uzimanje sustava kao taoce, čime stvaraju ozbiljne probleme za žrtve. | Grupa LAPSUS$ redovito koristi različite oblike zlonamjernog softvera kako bi prodrli u sustav žrtava. To uključuje viruse, trojance i druge oblike malwarea, omogućavajući im pristup osjetljivim informacijama ili uzimanje sustava kao taoce, čime stvaraju ozbiljne probleme za žrtve. |
| |
| |
| |
| ===Općenito o ransomware napadima=== | ===Općenito o ransomware napadima=== |
| Ransomware je vrsta zlonamjernog koda koji šifrira podatke na zaraženom računalu ili mreži, sprječavajući korisnike da pristupe svojim datotekama. Nakon toga, napadači zahtijevaju otkupninu u zamjenu za dekripcijski ključ ili alat koji omogućava ponovno dobivanje pristupa podacima. Ransomware se često širi putem zlonamjernih e-pošti, zlonamjernih web stranica ili exploitiranja sigurnosnih propusta u softveru. Jednom kada se infiltrira, brzo počinje šifriranje datoteka na pogođenom sustavu. Često uključujuće važne dokumente, fotografije i druge važne informacije. Napadači zatim šalju obavijest žrtvi s uputama o tome kako platiti otkupninu, obično u kriptovaluti, kako bi dobili ključ potreban za dekripciju podataka. Ransomware napadi često ciljaju kako pojedince tako i organizacije, uključujući tvrtke, bolnice i javne institucije. Posljedice mogu biti ozbiljne, dovodeći do gubitka važnih podataka, financijskih troškova za otkupninu te oštećenja reputacije. | Ransomware je vrsta zlonamjernog koda koji šifrira podatke na zaraženom računalu ili mreži, sprječavajući korisnike da pristupe svojim datotekama. Nakon toga, napadači zahtijevaju otkupninu u zamjenu za dekripcijski ključ ili alat koji omogućava ponovno dobivanje pristupa podacima. Ransomware se često širi putem zlonamjernih e-pošti, zlonamjernih web stranica ili exploitiranja sigurnosnih propusta u softveru. Jednom kada se zloćudni kod infiltrira, brzo počinje šifriranje datoteka na pogođenom sustavu. Često uključujuće važne dokumente, fotografije i druge važne informacije. Napadači zatim šalju obavijest žrtvi s uputama o tome kako platiti otkupninu, obično u kriptovaluti, kako bi dobili ključ potreban za dekripciju podataka. Ransomware napadi često ciljaju kako pojedince tako i organizacije, uključujući tvrtke, bolnice i javne institucije. Posljedice mogu biti ozbiljne, dovodeći do gubitka važnih podataka, financijskih troškova za otkupninu te oštećenja reputacije. |
| |
| {{ :racfor_wiki:seminari2023:lapsus_ransomnote.jpg?nolink&600 |}}**Slika 4:** Primjer ransomnote-a od strane LAPSUS$ grupe [[https://securityaffairs.com/126236/cyber-crime/impresa-lapsus-ransomware.html|Izvor]] | {{ :racfor_wiki:seminari2023:lapsus_ransomnote.jpg?nolink&600 |}}**Slika 4:** Primjer ransomnote-a od strane LAPSUS$ grupe [[https://securityaffairs.com/126236/cyber-crime/impresa-lapsus-ransomware.html|Izvor]] |
| |
| |
| Lapsus$ također cilja infrastrukturne mete, koristeći napredne tehničke vještine kako bi prodrli u mreže tvrtki, vlada ili organizacija. Ovakvi napadi često imaju dugotrajan i ozbiljan utjecaj na žrtvu, ugrožavajući njihovu operativnost i integritet. | Lapsus$ grupa također cilja infrastrukturne mete, koristeći napredne tehničke vještine kako bi prodrli u mreže tvrtki, vlada ili organizacija. Ovakvi napadi često imaju dugotrajan i ozbiljan utjecaj na žrtvu, ugrožavajući njihovu operativnost i integritet. |
| |
| |
| ===== Najpoznatiji napadi===== | ===== Najpoznatiji napadi LAPSUS$ grupe===== |
| |
| ==== Ministarstvo zdravstva u Brazilu (2021) ==== | ====Impresa (2021)==== |
| | Krajem 2021. godine Lapsus$ grupa napala je Impresu, najveći medijski konglomerat u Portugalu i vlasnika televizijskog kanala SIC i novina Expresso. Napadači su kompromitirali infrastrukturu Imprese. Napad se dogodio tijekom novogodišnjih praznika, web stranice Grupe Impresa, televizijski kanali SIC i novine Expresso "srušene" su i bile su izvan funkcije. Također, napadači su oskvrnuli sve stranice objavivši otkupnu poruku koja tvrdi da imaju pristup Amazon Web Services računu Imprese. Napad nije utjecao na radio i kabelske televizijske prijenose, dok je internetski prijenos SIC-a bio prekinut. Neko vrijeme su web stranice tvrtke bile u "modu održavanja". Prema portalu TheRecord, iako Impresa tvrdi da je povratila kontrolu nad svojim Amazon računom, LAPSUS$ grupa je putem Twitter računa Expressa tvrdila da ima pristup njenoj infrastrukturi. Početkom siječnja 2022. godine, grupa napala je web stranice Ministarstva zdravlja Brazila. Skupina je ciljala i južnoameričke telekomunikacijske pružatelje Claro i Embratel. |
| |
| Prvi poznati kibernetički napad počinjen od strane Lapsus$ grupe bio je usmjeren prema Ministarstvu zdravstva u Brazilu. Web stranica Ministarstva zdravstva srušena je u petak, 10. prosinca oko 1 sat ujutro. Lapsus$ grupa je ostavila poruku "Kontaktirajte nas ako želite povrat svojih podataka", zajedno s njihovim Telegram i e-mail adresama na početnoj stranici web mjesta ministarstva nakon što su izvršili ekstrakciju i brisanje 50 TB podataka na internim poslužiteljima. Do petka popodne poruka je uklonjena, ali web stranica i korisnički podaci u aplikaciji "ConecteSUS", koja omogućuje Brazilcima dobivanje certifikata o cijepljenju protiv COVID-a, ostali su nedostupni, uzrokujući poteškoće putnicima koji su potvrde trebali za ulazak odnosno izlazak iz zemlje. 19. listopada 2022., brazilski građanin za kojeg se vjeruje da je član Lapsus$-a uhićen je te naknadno optužen za napade na Ministarstvo zdravstva Brazila i druge kibernetičke kriminalne aktivnosti nakon operacije "Dark Cloud". Lapsus$ također je ciljao desetke drugih ogranaka vlade Brazila, uključujući ministarstvo gospodarstva, saveznu cestovnu policiju i druge. Vjeruje se da su ukradeni podaci trajno izbrisani, pitanje je što je s arhiviranim podacima ako su postojali. | ==== Ministarstvo zdravstva u Brazilu (2021) ==== |
| | Prvi poznati kibernetički napad počinjen od strane Lapsus$ grupe bio je usmjeren prema Ministarstvu zdravstva u Brazilu. Web stranica Ministarstva zdravstva srušena je u petak, 10. prosinca oko 1 sat ujutro. Lapsus$ grupa je ostavila poruku "Kontaktirajte nas ako želite povrat svojih podataka", s njihovim Telegram i e-mail adresama na početnoj stranici web mjesta ministarstva nakon što su izvršili ekstrakciju i brisanje 50 TB podataka na internim poslužiteljima. Do petka popodne poruka je uklonjena, ali web stranica i korisnički podaci u aplikaciji "ConecteSUS", koja omogućuje Brazilcima dobivanje certifikata o cijepljenju protiv COVID-a, ostali su nedostupni, uzrokujući poteškoće putnicima koji su potvrde trebali za ulazak odnosno izlazak iz zemlje. 19. listopada 2022., brazilski građanin za kojeg se vjeruje da je član Lapsus$-a uhićen je te naknadno optužen za napade na Ministarstvo zdravstva Brazila i druge kibernetičke kriminalne aktivnosti nakon operacije "Dark Cloud". Lapsus$ također je ciljao desetke drugih ogranaka vlade Brazila, uključujući ministarstvo gospodarstva, saveznu cestovnu policiju i druge. Vjeruje se da su ukradeni podaci trajno izbrisani, pitanje je što je s arhiviranim podacima ako su postojali. |
| |
| ==== Rockstar Games (2022, 2023) ==== | ==== Rockstar Games (2022, 2023) ==== |
| |
| ==== Okta (2022) ==== | ==== Okta (2022) ==== |
| 21. siječnja 2022., Lapsus$ grupa je dobila pristup poslužiteljima tvrtke za upravljanje identitetom i pristupom Okte, putem kompromitiranog računa inženjera korisničke podrške treće strane. Okta je potvrdila napad 25. siječnja 2022. Na temelju završnog izvješća o forenzici David Bradbury, jedan od glavnih i odgvornih za sigurnost u Okti, izjavio je da je napad utjecao samo na dva aktivna korisnika. Okta je počela istraživati tvrdnje o hakiranju nakon što je Lapsus$ podijelio snimke zaslona u Telegram kanalu implicirajući da su provalili u mreže korisnika Okte. Izvorno, Okta je rekla da je Lapsus$ hakirao pristup Daljinskom radnom stolu (RDP) inženjera korisničke podrške Sitela tijekom vremenskog perioda od pet dana između 16. i 21. siječnja. | 21. siječnja 2022., Lapsus$ grupa je dobila pristup poslužiteljima tvrtke za upravljanje identitetom i pristupom Okte, putem kompromitiranog računa inženjera korisničke podrške treće strane. Okta je potvrdila napad 25. siječnja 2022. Na temelju završnog izvješća o forenzici David Bradbury, jedan od glavnih i odgvornih za sigurnost u Okti, izjavio je da je napad utjecao samo na dva aktivna korisnika. Okta je počela istraživati tvrdnje o hakiranju nakon što je Lapsus$ podijelio snimke zaslona u Telegram kanalu implicirajući da su provalili u mreže korisnika Okte. Izvorno, Okta je rekla da je Lapsus$ hakirao pristup Daljinskom radnom stolu (RDP) inženjera korisničke podrške Sitela tijekom perioda od pet dana između 16. i 21. siječnja. |
| |
| ==== Nvidia (2022) ==== | ==== Nvidia (2022) ==== |
| ==== Uber (2022) ==== | ==== Uber (2022) ==== |
| 15. rujna 2022., Uber je objavio da su bili napadnuti od strane Lapsus$ grupe. | 15. rujna 2022., Uber je objavio da su bili napadnuti od strane Lapsus$ grupe. |
| |
| |
| |
| ===== Zaključak ===== | ===== Zaključak ===== |
| | Lapsus$ grupa predstavlja ozbiljnu prijetnju kibernetičkoj sigurnosti s visokom razinom sofisticiranosti u izvođenju svojih napada. Kroz analizu njihovih tehnika, motivacija i najpoznatijih napada, otkrivamo da grupa ne pokazuje nikakav oblik profesionalizma čak i unutar kriminalnih krugova. Unatoč uhićenjima i optužbama, Lapsus$ održava svoj javni profil, komunicira putem Telegrama i e-pošte te nastavlja s iznudom i objavljivanjem ukradenih podataka. Napadi na različite sektore, uključujući zdravstvo, tehnologiju i igraću industriju, ukazuju na širinu njihove mete i sposobnost prilagodbe. |
| Lapsus$ grupa predstavlja visoku prijetnju kibernetičkoj sigurnosti, izvodeći napade s visokom razinom sofisticiranosti. Ovaj seminar ne samo da pruža uvid u njihove metode, već ističe nužnost poboljšanja sigurnosnih postupaka i podizanja svijesti o kibernetičkim prijetnjama kako bi se odgovorilo na ovakve izazove. | Napadi poput onih na Impresu, Ministarstvo zdravstva u Brazilu, Rockstar Games, Nvidia, Samsung, Microsoft, te druge tvrtke, pokazuju da Lapsus$ grupa nije ograničena ni po industriji ni po geografskom području. Njihove tehnike, uključujući phishing, malware infekcije, ransomware napade te napade na infrastrukturu, prikazuju širok spektar vještina i sposobnosti prilagodbe njihovih taktika. |
| |
| ===== Literatura ===== | ===== Literatura ===== |
| | [[https://en.wikipedia.org/wiki/Lapsus$]] |
| | |
| | [[https://krebsonsecurity.com/2022/03/a-closer-look-at-the-lapsus-data-extortion-group/]] |
| | |
| | [[https://www.theverge.com/22998479/lapsus-hacking-group-cyberattacks-news-updates]] |
| | |
| | [[https://www.fbi.gov/wanted/seeking-info/lapsus]] |
| | |
| | [[https://securityscorecard.com/research/lapsus-update/]] |
| | |
| | [[https://www.provendata.com/blog/lapsus-ransomware/#:~:text=The%20group%20employs%20a%20variety,data%20through%20remote%20desktop%20tools.]] |
| | |
| | [[https://securityaffairs.com/126236/cyber-crime/impresa-lapsus-ransomware.html]] |
| | |
| | [[https://www.blackberry.com/us/en/solutions/endpoint-security/ransomware-protection/lapsus]] |
