| Starije izmjene na obje strane
Starija izmjena
Novija izmjena
|
Starija izmjena
|
racfor_wiki:seminari2023:lapsus_grupa_-_tehnike [2024/01/21 14:46]
mkovacic |
racfor_wiki:seminari2023:lapsus_grupa_-_tehnike [2024/12/05 12:24] (trenutno)
|
| ===== Najpoznatiji napadi LAPSUS$ grupe===== | ===== Najpoznatiji napadi LAPSUS$ grupe===== |
| |
| ==== Ministarstvo zdravstva u Brazilu (2021) ==== | ====Impresa (2021)==== |
| __Neovlašteni pristup podacima__ | Krajem 2021. godine Lapsus$ grupa napala je Impresu, najveći medijski konglomerat u Portugalu i vlasnika televizijskog kanala SIC i novina Expresso. Napadači su kompromitirali infrastrukturu Imprese. Napad se dogodio tijekom novogodišnjih praznika, web stranice Grupe Impresa, televizijski kanali SIC i novine Expresso "srušene" su i bile su izvan funkcije. Također, napadači su oskvrnuli sve stranice objavivši otkupnu poruku koja tvrdi da imaju pristup Amazon Web Services računu Imprese. Napad nije utjecao na radio i kabelske televizijske prijenose, dok je internetski prijenos SIC-a bio prekinut. Neko vrijeme su web stranice tvrtke bile u "modu održavanja". Prema portalu TheRecord, iako Impresa tvrdi da je povratila kontrolu nad svojim Amazon računom, LAPSUS$ grupa je putem Twitter računa Expressa tvrdila da ima pristup njenoj infrastrukturi. Početkom siječnja 2022. godine, grupa napala je web stranice Ministarstva zdravlja Brazila. Skupina je ciljala i južnoameričke telekomunikacijske pružatelje Claro i Embratel. |
| |
| Prvi poznati kibernetički napad počinjen od strane Lapsus$ grupe bio je usmjeren prema Ministarstvu zdravstva u Brazilu. Web stranica Ministarstva zdravstva srušena je u petak, 10. prosinca oko 1 sat ujutro. Lapsus$ grupa je ostavila poruku "Kontaktirajte nas ako želite povrat svojih podataka", zajedno s njihovim Telegram i e-mail adresama na početnoj stranici web mjesta ministarstva nakon što su izvršili ekstrakciju i brisanje 50 TB podataka na internim poslužiteljima. Do petka popodne poruka je uklonjena, ali web stranica i korisnički podaci u aplikaciji "ConecteSUS", koja omogućuje Brazilcima dobivanje certifikata o cijepljenju protiv COVID-a, ostali su nedostupni, uzrokujući poteškoće putnicima koji su potvrde trebali za ulazak odnosno izlazak iz zemlje. 19. listopada 2022., brazilski građanin za kojeg se vjeruje da je član Lapsus$-a uhićen je te naknadno optužen za napade na Ministarstvo zdravstva Brazila i druge kibernetičke kriminalne aktivnosti nakon operacije "Dark Cloud". Lapsus$ također je ciljao desetke drugih ogranaka vlade Brazila, uključujući ministarstvo gospodarstva, saveznu cestovnu policiju i druge. Vjeruje se da su ukradeni podaci trajno izbrisani, pitanje je što je s arhiviranim podacima ako su postojali. | ==== Ministarstvo zdravstva u Brazilu (2021) ==== |
| | Prvi poznati kibernetički napad počinjen od strane Lapsus$ grupe bio je usmjeren prema Ministarstvu zdravstva u Brazilu. Web stranica Ministarstva zdravstva srušena je u petak, 10. prosinca oko 1 sat ujutro. Lapsus$ grupa je ostavila poruku "Kontaktirajte nas ako želite povrat svojih podataka", s njihovim Telegram i e-mail adresama na početnoj stranici web mjesta ministarstva nakon što su izvršili ekstrakciju i brisanje 50 TB podataka na internim poslužiteljima. Do petka popodne poruka je uklonjena, ali web stranica i korisnički podaci u aplikaciji "ConecteSUS", koja omogućuje Brazilcima dobivanje certifikata o cijepljenju protiv COVID-a, ostali su nedostupni, uzrokujući poteškoće putnicima koji su potvrde trebali za ulazak odnosno izlazak iz zemlje. 19. listopada 2022., brazilski građanin za kojeg se vjeruje da je član Lapsus$-a uhićen je te naknadno optužen za napade na Ministarstvo zdravstva Brazila i druge kibernetičke kriminalne aktivnosti nakon operacije "Dark Cloud". Lapsus$ također je ciljao desetke drugih ogranaka vlade Brazila, uključujući ministarstvo gospodarstva, saveznu cestovnu policiju i druge. Vjeruje se da su ukradeni podaci trajno izbrisani, pitanje je što je s arhiviranim podacima ako su postojali. |
| |
| ==== Rockstar Games (2022, 2023) ==== | ==== Rockstar Games (2022, 2023) ==== |
| __Data breach__ | |
| 18. rujna 2022., pojavilo se 90 videozapisa u kojima se prikazuje tzv. "game footage" vezanim uz Grand Theft Auto VI na GTAForums. Smatra se da je napadač koji stoji iza ovog napada član LAPSUS$ grupe. 25. prosinca 2023. priopćeno je da su dodatni sadržaji dobiveni iz data breacha godinu dana ranije, uključujući datoteke za planirani nastavak igre Bully, Python kod za Grand Theft Auto VI i potpuni izvorni kod za Grand Theft Auto V, koji uključuje naznake planiranog dodatnog sadržaja/nadogradnje za postojeću igru. | 18. rujna 2022., pojavilo se 90 videozapisa u kojima se prikazuje tzv. "game footage" vezanim uz Grand Theft Auto VI na GTAForums. Smatra se da je napadač koji stoji iza ovog napada član LAPSUS$ grupe. 25. prosinca 2023. priopćeno je da su dodatni sadržaji dobiveni iz data breacha godinu dana ranije, uključujući datoteke za planirani nastavak igre Bully, Python kod za Grand Theft Auto VI i potpuni izvorni kod za Grand Theft Auto V, koji uključuje naznake planiranog dodatnog sadržaja/nadogradnje za postojeću igru. |
| |
| ==== Okta (2022) ==== | ==== Okta (2022) ==== |
| _Neovlašteni pristup podacima_ | 21. siječnja 2022., Lapsus$ grupa je dobila pristup poslužiteljima tvrtke za upravljanje identitetom i pristupom Okte, putem kompromitiranog računa inženjera korisničke podrške treće strane. Okta je potvrdila napad 25. siječnja 2022. Na temelju završnog izvješća o forenzici David Bradbury, jedan od glavnih i odgvornih za sigurnost u Okti, izjavio je da je napad utjecao samo na dva aktivna korisnika. Okta je počela istraživati tvrdnje o hakiranju nakon što je Lapsus$ podijelio snimke zaslona u Telegram kanalu implicirajući da su provalili u mreže korisnika Okte. Izvorno, Okta je rekla da je Lapsus$ hakirao pristup Daljinskom radnom stolu (RDP) inženjera korisničke podrške Sitela tijekom perioda od pet dana između 16. i 21. siječnja. |
| 21. siječnja 2022., Lapsus$ grupa je dobila pristup poslužiteljima tvrtke za upravljanje identitetom i pristupom Okte, putem kompromitiranog računa inženjera korisničke podrške treće strane. Okta je potvrdila napad 25. siječnja 2022. Na temelju završnog izvješća o forenzici David Bradbury, jedan od glavnih i odgvornih za sigurnost u Okti, izjavio je da je napad utjecao samo na dva aktivna korisnika. Okta je počela istraživati tvrdnje o hakiranju nakon što je Lapsus$ podijelio snimke zaslona u Telegram kanalu implicirajući da su provalili u mreže korisnika Okte. Izvorno, Okta je rekla da je Lapsus$ hakirao pristup Daljinskom radnom stolu (RDP) inženjera korisničke podrške Sitela tijekom vremenskog perioda od pet dana između 16. i 21. siječnja. | |
| |
| ==== Nvidia (2022) ==== | ==== Nvidia (2022) ==== |
| ==== Uber (2022) ==== | ==== Uber (2022) ==== |
| 15. rujna 2022., Uber je objavio da su bili napadnuti od strane Lapsus$ grupe. | 15. rujna 2022., Uber je objavio da su bili napadnuti od strane Lapsus$ grupe. |
| |
| |
| |
| ===== Zaključak ===== | ===== Zaključak ===== |
| | Lapsus$ grupa predstavlja ozbiljnu prijetnju kibernetičkoj sigurnosti s visokom razinom sofisticiranosti u izvođenju svojih napada. Kroz analizu njihovih tehnika, motivacija i najpoznatijih napada, otkrivamo da grupa ne pokazuje nikakav oblik profesionalizma čak i unutar kriminalnih krugova. Unatoč uhićenjima i optužbama, Lapsus$ održava svoj javni profil, komunicira putem Telegrama i e-pošte te nastavlja s iznudom i objavljivanjem ukradenih podataka. Napadi na različite sektore, uključujući zdravstvo, tehnologiju i igraću industriju, ukazuju na širinu njihove mete i sposobnost prilagodbe. |
| Lapsus$ grupa predstavlja visoku prijetnju kibernetičkoj sigurnosti, izvodeći napade s visokom razinom sofisticiranosti. Ovaj seminar ne samo da pruža uvid u njihove metode, već ističe nužnost poboljšanja sigurnosnih postupaka i podizanja svijesti o kibernetičkim prijetnjama kako bi se odgovorilo na ovakve izazove. | Napadi poput onih na Impresu, Ministarstvo zdravstva u Brazilu, Rockstar Games, Nvidia, Samsung, Microsoft, te druge tvrtke, pokazuju da Lapsus$ grupa nije ograničena ni po industriji ni po geografskom području. Njihove tehnike, uključujući phishing, malware infekcije, ransomware napade te napade na infrastrukturu, prikazuju širok spektar vještina i sposobnosti prilagodbe njihovih taktika. |
| |
| ===== Literatura ===== | ===== Literatura ===== |
| [[https://en.wikipedia.org/wiki/Lapsus$]] | [[https://en.wikipedia.org/wiki/Lapsus$]] |
| | |
| [[https://krebsonsecurity.com/2022/03/a-closer-look-at-the-lapsus-data-extortion-group/]] | [[https://krebsonsecurity.com/2022/03/a-closer-look-at-the-lapsus-data-extortion-group/]] |
| | |
| [[https://www.theverge.com/22998479/lapsus-hacking-group-cyberattacks-news-updates]] | [[https://www.theverge.com/22998479/lapsus-hacking-group-cyberattacks-news-updates]] |
| | |
| [[https://www.fbi.gov/wanted/seeking-info/lapsus]] | [[https://www.fbi.gov/wanted/seeking-info/lapsus]] |
| | |
| [[https://securityscorecard.com/research/lapsus-update/]] | [[https://securityscorecard.com/research/lapsus-update/]] |
| | |
| [[https://www.provendata.com/blog/lapsus-ransomware/#:~:text=The%20group%20employs%20a%20variety,data%20through%20remote%20desktop%20tools.]] | [[https://www.provendata.com/blog/lapsus-ransomware/#:~:text=The%20group%20employs%20a%20variety,data%20through%20remote%20desktop%20tools.]] |
| | |
| [[https://securityaffairs.com/126236/cyber-crime/impresa-lapsus-ransomware.html]] | [[https://securityaffairs.com/126236/cyber-crime/impresa-lapsus-ransomware.html]] |
| |
| | [[https://www.blackberry.com/us/en/solutions/endpoint-security/ransomware-protection/lapsus]] |
