Miscrosoft

El grupo de hackers Lapsus$ afirma haber filtrado el código fuente de Bing, Cortana y otros proyectos robados del servidor interno Azure DevOps de Microsoft.

El domingo por la mañana temprano, la pandilla Lapsus $ publicó una captura de pantalla en su canal de Telegram que indica que piratearon el servidor Azure DevOps de Microsoft que contiene el código fuente para Bing, Cortana y varios otros proyectos internos.

Captura de pantalla de la cuenta Azure DevOps de Microsoft filtrada por Lapsus$
Captura de pantalla de la cuenta Azure DevOps de Microsoft filtrada por Lapsus$

El lunes por la noche, el grupo de piratería publicó un torrente de un archivo 7zip de 9 GB que contiene el código fuente de más de 250 proyectos que, según dicen, pertenecen a Microsoft.

Al publicar el torrent, Lapsus$ dijo que contenía el 90 % del código fuente de Bing y aproximadamente el 45 % del código de Bing Maps y Cortana.

Aunque dicen que solo se filtró parte del código fuente, se le dice a BleepingComputer que el archivo sin comprimir contiene aproximadamente 37 GB de código fuente que supuestamente pertenece a Microsoft.

Proyectos de código fuente filtrados
Proyectos de código fuente filtrados

Los investigadores de seguridad que estudiaron detenidamente los archivos filtrados le dijeron a BleepingComputer que parecen ser un código fuente interno legítimo de Microsoft.

Además, se nos dice que algunos de los proyectos filtrados contienen correos electrónicos y documentación que los ingenieros de Microsoft usaron internamente para publicar aplicaciones móviles.

Los proyectos parecen ser para infraestructura basada en la web, sitios web o aplicaciones móviles, sin código fuente para el software de escritorio de Microsoft publicado, incluidos Windows, Windows Server y Microsoft Office.

Cuando nos comunicamos con Microsoft sobre la filtración del código fuente de esta noche, continuaron diciéndole a BleepingComputer que están al tanto de los reclamos y que están investigando.

Lapsus$ filtra datos de izquierda a derecha

Lapsus$ es un grupo de piratería de extorsión de datos que compromete los sistemas corporativos para robar código fuente, listas de clientes, bases de datos y otros datos valiosos. Luego intentan extorsionar a la víctima con demandas de rescate para no filtrar públicamente los datos.

En los últimos meses, Lapsus$ ha revelado numerosos ciberataques contra grandes empresas, con ataques confirmados contra  NVIDIA ,  Samsung ,  Vodafone ,  Ubisoft y  Mercado Libre.

Hasta ahora, la mayoría de los ataques se han dirigido a repositorios de código fuente, lo que permite a los actores de amenazas robar datos confidenciales patentados, como la tecnología lite hash rate (LHR) de NVIDIA que permite que las tarjetas gráficas reduzcan la capacidad de minería de una GPU.

Se desconoce cómo los actores de amenazas están violando estos repositorios, pero algunos investigadores de seguridad creen que están pagando a personas internas corporativas para acceder.

«Desde mi perspectiva, siguen obteniendo su acceso utilizando información privilegiada corporativa», dijo el analista de inteligencia de amenazas Tom Malka a BleepingComputer.

Esta teoría no es descabellada, ya que Lapsus$ ha anunciado previamente que están dispuestos a comprar el acceso a las redes de los empleados.

Lapsus$ reclutando expertos corporativos
Lapsus$ reclutando expertos corporativos

Sin embargo, puede ser más que eso, ya que Lapsus$ publicó capturas de pantalla de su acceso a lo que afirman son los sitios web internos de Okta. Como Okta es una plataforma de autenticación y gestión de identidades, si Lapsus$ logró vulnerar la seguridad de la empresa, podrían usarlo como trampolín para los clientes de la empresa.

En cuanto a Lapsus$, han obtenido una gran cantidad de seguidores en Telegram, con más de 33 000 suscriptores en su canal principal y más de 8000 en su canal de chat.

El grupo de extorsión utiliza sus muy activos canales de Telegram para anunciar nuevas filtraciones, ataques y chatear con sus fans, y parece estar disfrutando de la notoriedad.

Con el cierre del foro de violación de datos de RaidForums , es probable que veamos a muchos de los habituales de ese sitio ahora interactuando juntos en los canales de Telegram de Lapsus$.

Por el momento, es probable que veamos más filtraciones mientras Lapsus$ y sus fanáticos celebran las filtraciones de datos.

Fuente y redacción: bleepingcomputer.com

Compartir