„Bereme si dovolenou.“ Velkolepé entrée hackerů z Lapsus$ je možná u konce

Článek si také můžete poslechnout v audioverzi.

Gangy počítačových hackerů, které kradou data velkým společnostem a pak za jejich navrácení požadují výkupné, nejsou nic nového. Skupina, která se ale objevila na hackerské scéně teprve před třemi měsíci a na svém kontě už má největší technologické společnosti, se vymyká zvyklostem. Otázkou je, na jak dlouho.

Lapsus$, jak si skupina přezdívá, začala se svými útoky na cíle v portugalsky mluvících zemích. Velice záhy se ale přesunula i na západ, kde čile pokračovala ve své činnosti. Krátce po prvních větších útocích se jim vydali na stopu také vyšetřovatelé, podle kterých za útoky stojí 16letý mladík žijící s matkou nedaleko Oxfordu v Anglii, informuje agentura Bloomberg.

Skupina se od konvenčních ransomware hackerů liší. Ransomware je škodlivý program, který hackeři po proniknutí do systému implementují na servery oběti, která se pak k zaheslovaným datům nemůže dostat. Jedinou cestou pro oběť je tak zaplatit hackerům, kteří následně veškerá data odblokují. Lapsus$ ale po získání přístupu k datům vybere pouze ty nejcitlivější soubory a následně poškozené společnosti vydírá.

K datům se dostávají především pomocí phishingu a jiných druhů sociálního inženýrství. Výsledky své práce pak sdílejí na sociální síti Telegram. Jejich kanál má v současnosti přes 47 tisíc sledujících.

Během prosince a ledna skupina napadla a vydírala brazilské ministerstvo zdravotnictví, portugalského mediálního giganta Impresa, jihoamerické telekomunikační společnosti Claro a Embratel, brazilskou autopůjčovnu Localiza a další. Kromě vydírání několika firmám znepřístupnila web a při kliknutí na webový odkaz byl uživatel přesměrován na stránky s obsahem pro dospělé, píše server Wired.

Podle serveru Wired se v posledních týdnech intenzita útoků dále stupňovala. Lapsus$ zaútočili na argentinské e-shopy MercadoLibre a MercadoPago, tvrdí, že zaútočili i na britský Vodafone a zároveň zveřejnili citlivé a drahocenné zdrojové kódy Samsungu a Nvidie.

Podle jejich vyjádření na Telegramu ale za útoky nestojí žádná politická motivace. „Pamatujte si: Cíl jsou peníze, naše důvody nejsou politické,“ napsali. Podle expertů to ale není tak přímočaré.

„Uctívají pouliční styl (orig. street cred – pozn. red.) a chtějí mít vliv,“ vysvětluje pro server Wired Charles Carmakal, senior viceprezident a CTO kyberbezpečnostní společnosti Mandiant. „Chlubí se svým přátelům a pokud dostanou peníze, vezmou si je. Ale nezdá se, že by peníze byly jediným, nebo dokonce primárním cílem. Přestože je tedy zasažená společnost ochotná vyjednávat a případně i zaplatit, pravděpodobně nedosáhne očekáváného výsledku,“ dodává.

Jejich poslední největší útoky toho mohou být důkazem. Daty, která ukradli společnosti vyrábějící grafické karty Nvidia, firmu vydírali a požadovali, aby byl z jejich grafických karet odstraněn nástroj znemožňující těžení kryptoměn. Následně požadovali, aby zveřejnila některé ovladače pro čipy Nvidia.

Pár dní po oznámení útoku na Nvidii také uvedli, že společnosti Samsung ukradli 190 gigabitů dat, včetně zdrojového kódu pro zapínání zařízení Samsung a algoritmů pro fungování biometrického zabezpečení telefonů řady Galaxy. Samsung později únik dat potvrdil.

A pouze pár dní nato potvrdil útok i herní gigant Ubisoft. „Minulý týden Ubisoft zaznamenal kybernetický bezpečnostní incident, který způsobil dočasné narušení některých našich her, systémů a služeb,“ stálo v oficiální zprávě.

V pondělí Lapsus$ zveřejnil zdrojové kódy k vyhledávači Microsoft Bing, mapám Bing Maps a virtuální asistentce Cortana. Úspěšný útok na technologickou společnost s tak pokročilým zabezpečením jako je Microsoft by už byl alarmující. V úterý ale na svém profilu zveřejnili snímky obrazovky ze systému Okta, na kterém byl přihlášený účet „super user“.

Okta je online platforma pro správu identit, kterou používají celosvětově tisíce organizací a firem, včetně těch v Česku. Služba umožňuje zaměstnancům přístup do jednotlivých služeb, které má firma předplacené, bez nutnosti hesla ke každé z nich. Spojuje tak například účty Gmail, Google kalendář, Zoom a další pod jedněmi přihlašovacími údaji.

A skrze „super user“ lze přistupovat ke všem účtům, které jsou v tomto systému, a například jim všem změnit hesla. Přes Oktu se tak hackeři pravděpodobně dostali i do systémů Microsoftu a dalších. Jak se dostali do systému Okty není zcela jasné, ale podle vyjádření napadené společnosti získali přístup k notebooku jednoho z externích pomocných vývojářů, jak napsala Okta na svém blogu.

Doposud úspěšné řádění by ale mohlo brzy skončit. Na stopě údajnému organizátorovi celé skupiny jsou totiž vyšetřovatelé zastupující napadené firmy. Podle nich stojí za většinou útoků 16letý mladík z města Oxford v Anglii. Zatím se ale vyšetřovatelům nepodařilo hocha spojit se všemi útoky, které si nárokovala skupina Lapsus$, píše agentura Bloomberg.

Dalším identifikovaným členem gangu by měl být mladík z Brazílie. Celkem má podle vyšetřovatelů skupina minimálně 7 členů. Zároveň uvedli, že vzhledem k rychlosti a efektivitě, se kterou organizátor skupiny postupoval, si nejdříve mysleli, že se jedná o automatizovaného bota.

Po zveřejnění informací o vyšetřování napsala skupina Lapsus$ na svůj Telegram, že někteří členové si dočasně berou volno, ale budou zpátky během týdne. „Několik našich členů má do 30. 3. 2022 dovolenou. Možná budeme chvíli zticha. Děkujeme za pochopení – budeme se snažit co nejdříve odhalovat nové informace,“ napsali.