El govern dels Estats Units va publicar un informe després d’analitzar tècniques senzilles, com l’intercanvi de targetes SIM, utilitzades pel grup d’extorsió Lapsus$ per a vulnerar desenes d’organitzacions amb una sòlida estructura de seguretat.

L’examen de les operacions del grup es va iniciar al desembre de l’any passat després d’un llarg rastre d’incidents atribuïts a Lapsus$ o reivindicats per ell després de filtrar dades confidencials de suposades víctimes.

Entre les empreses més conegudes afectades per Lapsus$ es troben Microsoft, Cisco, Okta, Nvidia, T-Mobile, Samsung, Uber, Vodafone, Ubisoft i Globant.

Lapsus$ es descriu com un grup poc organitzat format principalment per adolescents, amb membres al Regne Unit i al Brasil que van actuar entre 2021 i 2022 per notorietat, benefici econòmic o per diversió. No obstant això, també van combinar tècniques de diversa complexitat amb molta creativitat.

El poder de l’intercanvi de SIM

La Junta de Revisió de Seguretat Cibernètica (CSRB) del Departament de Seguretat Nacional (DHS) va finalitzar la seva anàlisi i descriu les tàctiques i tècniques del grup en un informe que també inclou recomanacions per a la indústria.
“Lapsus$ va emprar tècniques de baix cost, ben conegudes i disponibles per a altres tipus d’amenaces, revelant punts febles en la nostra infraestructura cibernètica que podrien ser vulnerables a futurs atacs”.

El grup utilitzava l’intercanvi de SIM per a accedir a la xarxa interna d’una empresa i robar informació confidencial, com a codi font, detalls sobre tecnologia patentada o documents comercials i relacionats amb els clients.

En un atac d’intercanvi de SIM, l’autor de l’amenaça roba el número de telèfon de la víctima transferint-lo a una targeta SIM propietat de l’atacant. El truc depèn de l’enginyeria social o d’una persona amb informació privilegiada en l’operador de telefonia mòbil de la víctima.

Amb el control del número de telèfon de la víctima, l’atacant pot rebre codis efímers basats en SMS per a l’autenticació de dos factors (2FA) necessària per a iniciar sessió en diversos serveis empresarials o accedir a xarxes corporatives.

Anar a la font

En el cas de Lapsus$, alguns dels intercanvis fraudulents de SIM es van realitzar directament des de les eines de gestió de clients del proveïdor de telecomunicacions després de segrestar comptes pertanyents a empleats i contractistes.

Per a obtenir informació confidencial sobre la seva víctima (nom, número de telèfon, informació de la xarxa propietat del client), els membres del grup utilitzaven a vegades sol·licituds de divulgació d’emergència (EDR) fraudulentes.

Un atacant pot crear una EDR falsa fent-se passar per un sol·licitant legítim, com un agent de la llei, o aplicant logotips oficials a la sol·licitud.
Lapsus$ també es va basar en persones internes de les empreses objectiu, empleats o contractistes, per aconseguir credencials, aprovar sol·licituds d’autenticació multifactor (MFA) o fer servir l’accés intern per a ajudar a l’atacant.

“Després d’executar els intercanvis fraudulents de SIM, Lapsus$ va aconseguir el control de comptes en línia a través de fluxos de treball d’inici de sessió i recuperació de comptes que enviaven enllaços d’un sol ús o contrasenyes MFA a través d’SMS o trucades”.

En un cas, Lapsus$ va usar el seu accés no autoritzat a un proveïdor de telecomunicacions per a intentar comprometre comptes de telèfons mòbils connectats a personal del FBI i del Departament de Defensa.

L’intent va fracassar a causa de la seguretat addicional implementada per a aquests comptes.

Guanyar i gastar diners

Durant la recerca, segons les conclusions de la CSRB, el grup va arribar a pagar fins a 20.000 dòlars setmanals per accedir a la plataforma d’un proveïdor de telecomunicacions i realitzar intercanvis de SIM.

Encara que l’FBI no tenia coneixement que Lapsus$ va vendre les dades que robava, ni va trobar proves que les víctimes paguessin rescats al grup, la CSRB afirma que alguns experts en seguretat “van observar que Lapsus$ extorsionava a organitzacions i que algunes pagaven rescats”.

Segons les conclusions de la CSRB, el grup també explotava vulnerabilitats no aplicades en els pegats de seguretat de Microsoft Activi Directory per a augmentar els seus privilegis en la xarxa de les víctimes.

Es calcula que Lapsus$ va aprofitar els problemes de seguretat d’Active Directory fins a un 60% dels seus atacs, la qual cosa demostra que els membres del grup tenien els coneixements tècnics necessaris per a moure’s dins d’una xarxa.

Trepitjant el fre

Encara que Lapsus$ es va caracteritzar per la seva eficàcia, rapidesa, creativitat i audàcia, el grup no sempre va tenir èxit en els seus atacs. Va fracassar en entorns que implementaven autenticació multifactor (MFA) basada en aplicacions o tokens.

A més, els robustos sistemes de detecció d’intrusions en la xarxa i la senyalització de l’activitat sospitosa dels comptes van impedir els atacs de Lapsus$. En els casos en què es van seguir els procediments de resposta a incidents, l’impacte es va veure “significativament mitigat”, afirma la CSRB en l’informe.

Tot i que investigadors i experts en seguretat porten anys denunciant l’ús de l’autenticació basada en SMS com a insegura, la Junta de Revisió de la Ciberseguretat del DHS destaca que “la majoria de les organitzacions no estaven preparades per prevenir” els atacs de Lapsus$ o altres grups que empren tàctiques similars.

Entre les recomanacions de la Junta per a evitar que altres atacants obtinguin accés no autoritzat a una xarxa interna s’inclouen:

• Passar a un entorn sense contrasenyes amb solucions segures de gestió d’identitats i accessos i descartar l’SMS com a mètode d’autenticació en dos passos.
• Prioritzar els esforços per a reduir l’eficàcia de l’enginyeria social mitjançant sòlides capacitats d’autenticació que siguin resistents al phishing MFA.
• Els proveïdors de telecomunicacions han de tractar els intercanvis de SIM com a accions altament privilegiades que requereixen una forta verificació d’identitat, i proporcionar opcions de bloqueig de compte per als consumidors.
• Reforçar les activitats de supervisió i aplicació de la Comissió Federal de Comunicacions (FCC) i la Comissió Federal de Comerç (FTC).
• Planificar els ciberatacs pertorbadors i invertir en prevenció, resposta i recuperació, adoptar un model de confiança zero i reforçar les pràctiques d’autenticació.
• Augmentar la resistència enfront dels atacs d’enginyeria social quan es tracta de sol·licituds de divulgació d’emergència (dades).
• Les organitzacions han d’augmentar la cooperació amb les forces de seguretat notificant els incidents amb promptitud; el Govern dels EUA “orientació clara i coherent sobre les seves funcions i responsabilitats en relació amb els incidents cibernètics”.

Lapsus$ va romandre en silenci des de setembre de 2022, probablement a causa de les recerques policials que van conduir a la detenció de diversos membres del grup. Al març de l’any passat, la policia de la ciutat de Londres va anunciar la detenció de set individus vinculats a Lapsus$. Pocs dies després, l’1 d’abril, es va detenir a dos més, un de 16 i un altre de 17 anys.

A l’octubre, durant l’Operació Dark Cloud, la Policia Federal brasilera va detenir a un individu sospitós de formar part del grup d’extorsió Lapsus$, per vulnerar els sistemes del Ministeri de Sanitat del país.