Microsoft xác nhận bị hack bởi nhóm hacker Lapsus$

Microsoft vừa chính thức xác nhận rằng họ đã bị hack bởi nhóm hacker Lapsus$. Gã khổng lồ phần mềm cho biết một trong những tài khoản của nhân viên đã bị xâm nhập bởi Lapsus$, cung cấp quyền truy cập hạn chế vào kho mã nguồn.

"Mã khách hàng hoặc dữ liệu liên quan không hề bị rò rỉ. Cuộc điều tra của chúng tôi phát hiện ra có một tài khoản duy nhất bị xâm phạm, cung cấp cho hacker quyền truy cập hạn chế. Các nhóm phản ứng an ninh mạng của chúng tôi đã nhanh chóng tham gia vào việc khắc phục tài khoản bị xâm phạm và ngăn chặn những động thái tiếp theo của hacker", Microsoft chia sẻ.

Cuộc điều tra của Microsoft hé lộ phương thức tấn công của nhóm hacker Lapsus$. Nhóm này thường lấy thông tin đăng nhập bằng các phương pháp sau:

• Triển khai mã độc đánh cắp mật khẩu Redline để lấy cắp mật khẩu và mã thông báo phiên.
• Mua thông tin xác thực và mã thông báo phiên trên các diễn đàn tội phạm mạng.
• Trả tiền cho nhân viên của các công ty mục tiêu để có quyền truy cập vào thông tin đăng nhập và mã xác thực đa yếu tố.
• Tìm kiếm repo công cộng để tìm thông tin đăng nhập bị lộ.

Sau khi có quyền truy cập, Lapsus$ đăng nhập vào các thiết bị và hệ thống công khai của công ty bao gồm VPN, cơ sở hạ tầng Visual Desktop hoặc dịch vụ quản lý danh tính, ví dụ như Okta vốn đã bị hack hồi tháng 01/2022.

Ngoài ra, Lapsus$ còn kết hợp nhiều phương thức tấn công khác nữa như hoán đổi SIM (để đánh cắp mã xác thực đa yếu tố), khai thác lỗ hổng để leo thang đặc quyền...

Chỉ ít giờ sau khi hé lộ về việc có trong tay mã nguồn của Microsoft, nhóm hacker Lapsus$ đã có hành động chứng minh cho tuyên bố của mình.

Cụ thể, nhóm hacker này đã đăng tải một file torrent chứa 9GB dữ liệu nén bằng 7zip. Trong đó chứa mã nguồn của hơn 250 dự án mà chúng tuyên bố thuộc về Microsoft.

Khi đăng tải file torrent, Lapsus$ cho biết trong đó chứa 90% mã nguồn của Bing và khoảng 45% mã nguồn cho Bing Maps và Cortana. Khi giải nén ra, theo BleepingComputer, số mã nguồn này có dung lượng 37GB. Các nhà nghiên cứu có cơ hội tiếp cận với file torrent cũng đã xác nhận đó chính xác là mã nguồn của Microsoft.

Hơn nữa, một số dự án bị rò rỉ có chứa email và các tài liệu đã được các kỹ sư của Microsoft sử dụng nội bộ cho việc xuất bản ứng dụng di động. Các dự án dường như dành cho cơ sở hạ tầng web, trang web hoặc ứng dụng di động, không có mã nguồn dành cho phần mềm trên máy tính của Microsoft bao gồm Windows, Windows Server và Microsoft Office.

Microsoft vẫn tiếp tục đưa ra thông báo chung chung rằng họ đã nắm được vấn đề và đang tiến hành điều tra.

Sáng chủ nhật ngày 20/3/2022, nhóm hacker Lapsus$ đưa ra tuyên bố rằng chúng đang nắm trong tay một số mã nguồn của Microsoft. Hacker đã tấn công vào máy chủ Azure DevOps của Microsoft rồi đăng một bức ảnh chụp màn hình về các repo chứa mã nguồn nội bộ của Microsoft lên Telegram.

Trong bức ảnh, chúng ta có thể thấy mã nguồn của Cortana và các dự án Bing khác với tên gọi "Bing_STC-SV", "Bing_Test_Agile" và "Bing_UX". Ngoài ra trong ảnh còn có các repo khác nhưng chưa biết bên trong chúng chứa những mã nguồn gì.

Một điều khá kỳ lạ là nhóm hacker đã để lại tên viết tắt của người dùng đã đăng nhập là "IS" trong ảnh chụp màn hình. Điều này có thể giúp Microsoft xác định tài khoản bị xâm nhập và tiến hành các biện pháp bảo mật cần thiết.

Việc để lại những chữ cái đầu của tài khoản cho thấy Lapsus$ không chỉ tuyên bố rằng họ có quyền truy cập vào repo của Microsoft mà còn muốn chế nhạo Microsoft. Đây là điều mà nhóm hacker này đã từng làm với các nạn nhân khác như NVIDIA, Samsung...

Hiện tại, Microsoft chưa xác nhận tài khoản Azure DevOps của họ có bị xâm phạm hay không. Tuy nhiên, chia sẻ với Bleeping Computer, Microsoft nói rằng họ biết về tuyên bố của Lapsus$ và đang tiến hành điều tra.

Microsoft chia sẻ thêm rằng việc mã nguồn của họ bị rò rỉ (nếu có) cũng sẽ không tạo ra những nguy cơ lớn. Lý do là vì Microsoft có cách tiếp cận khác so với tiêu chuẩn của thị trường. Cách tiếp cận mới cho phép Microsoft bảo mật cho sản phẩm mà không phụ thuộc vào việc giữ bí mật mã nguồn.

Dẫu vậy, không thể loại trừ rất cả các nguy cơ bởi trong mã nguồn bị rò rỉ còn có mã khóa mã hóa riêng tư, chữ ký số, mã API hoặc các công cụ độc quyền khác.