Slika 1: Poster objavljen od strane FBI agencije Izvor

Ovaj seminar pruža temeljnu analizu kibernetičkih napada izvedenih od strane kibernetičke kriminalne grupe poznate kao Lapsus$. Kroz analizu njihovih povijesnih koraka, motivacija, tehnika napada, i njihovog utjecaja na digitalnu sigurnost, nastojimo shvatiti kompleksnost ove ozloglašene kibernetičke prijetnje te njihovih tehnika napada.

LAPSUS$ je međunarodna kibernetička kriminalna skupina koja je stekla reputaciju po provođenju kibernetičkih napada s fokusom na iznudu podataka. Prvi puta su privukli pažnju javnosti kada su izveli napad ransomware-a na Ministarstvo zdravstva Brazila u prosincu 2021., ugrozivši podatke o COVID-19 cijepljenju milijuna stanovnika. Nakon toga, grupa je nastavila svoj niz napada, ciljajući velike tehnološke korporacije kao što su Nvidia, Samsung, Microsoft, Vodafone te čak i tvrtka Ubisoft. Njihovi napadi nisu bili ograničeni samo na krađu podataka, poremetili su i usluge tvrtki te stajali iza napada na EA Games. Istražitelji su identificirali tinejdžera iz Engleske kao glavnog organizatora grupe, dok se sumnja da bi jedan od članova mogao živjeti u Brazilu. Članovi grupe pokazuju izuzetnu vještinu u hakiranju, a jedan od njih je toliko stručan da su istraživači prvotno pomislili da je njegov rad automatiziran. LAPSUS$ se ne drži određene političke skupine ili filozofije, a poznati su po nedostatku profesionalnosti čak i među ransomware kriminalnim skupinama. Grupa ne poštuje svoja obećanja o uništenju ukradenih podataka i ne ulaže puno truda u prikrivanje tragova ili skrivanje tehnika. Iako je londonska policija uhitila sedam osoba povezanih s LAPSUS$ grupom u ožujku 2022., samo su dvije osobe optužene. Ironično, grupa koja se bavi “doxxingom” pružila je informacije koje su dovele do uhićenja, no to nije značajno utjecalo na operacije grupe. LAPSUS$ i dalje održava javni profil, redovito komunicira putem Telegrama i e-pošte te nastavlja iznuditi i objavljivati podatke žrtava.

Phishing napad u kibernetičkoj sigurnosti predstavlja oblik prijevare putem interneta s ciljem prevariti pojedinca ili organizaciju kako bi otkrili osjetljive informacije poput korisničkih imena, lozinki, financijskih podataka ili drugih važnih podataka. Ova vrsta napada često uključuje manipulaciju ljudskog ponašanja, koristeći različite tehnike kako bi se žrtva dovela u zabludu. Primjeri uključuju situacije gdje napadači šalju lažne e-pošte imitirajući autentične izvore, ciljaju određene pojedince ili organizacije kako bi personalizirali napade, te preusmjeravaju žrtve na lažne web stranice čak i kad unesu ispravnu adresu u pregledniku. Također, koriste SMS poruke ili tehnologiju glasa kako bi prevarili ljude, dok se social engineering koristi manipulacijom ljudskog ponašanja za dobivanje željenih informacija.

Slika 2: Shema phishing napada Izvor

Lapsus$ često koristi phishing tehniku kako bi pribavili osjetljive informacije od svojih meta. Kroz lukave e-pošte, lažne web stranice ili druge oblike komunikacije, usmjeravaju se na ranjivosti korisnika kako bi ih prevarili i došli do njihovih podataka.

Malware infekcije predstavljaju ozbiljnu prijetnju kibernetičkoj sigurnosti, a njihov cilj je infiltrirati računalne sustave ili mreže radi izazivanja štete ili krađe osjetljivih informacija. Ovi zlonamjerni softveri, skraćeno malware, obuhvaćaju različite vrste, uključujući viruse, trojance, crve, spyware i adware. Sposobni su se širiti kroz različite kanale, poput zaraženih e-pošti, zlonamjernih web stranica ili zaraženih datoteka. Nakon infiltracije, malware može izazvati različite štetne učinke, poput brisanja podataka, špijuniranja aktivnosti korisnika, ili čak preuzimanja kontrole nad sustavom.

Slika 3: Ilustracija malware-a Izvor

Grupa LAPSUS$ redovito koristi različite oblike zlonamjernog softvera kako bi prodrli u sustav žrtava. To uključuje viruse, trojance i druge oblike malwarea, omogućavajući im pristup osjetljivim informacijama ili uzimanje sustava kao taoce, čime stvaraju ozbiljne probleme za žrtve.

Ransomware je vrsta zlonamjernog koda koji šifrira podatke na zaraženom računalu ili mreži, sprječavajući korisnike da pristupe svojim datotekama. Nakon toga, napadači zahtijevaju otkupninu u zamjenu za dekripcijski ključ ili alat koji omogućava ponovno dobivanje pristupa podacima. Ransomware se često širi putem zlonamjernih e-pošti, zlonamjernih web stranica ili exploitiranja sigurnosnih propusta u softveru. Jednom kada se zloćudni kod infiltrira, brzo počinje šifriranje datoteka na pogođenom sustavu. Često uključujuće važne dokumente, fotografije i druge važne informacije. Napadači zatim šalju obavijest žrtvi s uputama o tome kako platiti otkupninu, obično u kriptovaluti, kako bi dobili ključ potreban za dekripciju podataka. Ransomware napadi često ciljaju kako pojedince tako i organizacije, uključujući tvrtke, bolnice i javne institucije. Posljedice mogu biti ozbiljne, dovodeći do gubitka važnih podataka, financijskih troškova za otkupninu te oštećenja reputacije.

Slika 4: Primjer ransomnote-a od strane LAPSUS$ grupe Izvor

Data breach odnosi se na neovlašteni pristup, stjecanje, otkrivanje ili uporabu osjetljivih ili povjerljivih informacija, poput osobnih podataka (ime, adresa, OIB) ili korporativnih podataka. Data breach može nastati zbog različitih razloga, uključujući cyber-kriminalne aktivnosti, unutarnje prijetnje ili nenamjerne izloženosti, gdje hakeri iskorištavaju ranjivosti u sustavima ili mrežama kako bi pristupili osjetljivim podacima. Data leak, s druge strane, predstavlja situaciju u kojoj se osjetljive informacije izlažu neovlaštenim pojedincima ili javnosti, često zbog konfiguracijskih grešaka, ljudske pogreške ili slabih sigurnosnih praksi. Napadi na infrastrukturu uključuju pokušaje oštećenja, onesposobljavanja ili neovlaštenog pristupa ključnim elementima informacijske tehnologije, energetskih sustava ili drugih kritičnih infrastrukturnih resursa, čime se može nanijeti ozbiljna šteta.

Slika 5: Ilustracija data breach napadaIzvor

Lapsus$ grupa također cilja infrastrukturne mete, koristeći napredne tehničke vještine kako bi prodrli u mreže tvrtki, vlada ili organizacija. Ovakvi napadi često imaju dugotrajan i ozbiljan utjecaj na žrtvu, ugrožavajući njihovu operativnost i integritet.

Krajem 2021. godine Lapsus$ grupa napala je Impresu, najveći medijski konglomerat u Portugalu i vlasnika televizijskog kanala SIC i novina Expresso. Napadači su kompromitirali infrastrukturu Imprese. Napad se dogodio tijekom novogodišnjih praznika, web stranice Grupe Impresa, televizijski kanali SIC i novine Expresso “srušene” su i bile su izvan funkcije. Također, napadači su oskvrnuli sve stranice objavivši otkupnu poruku koja tvrdi da imaju pristup Amazon Web Services računu Imprese. Napad nije utjecao na radio i kabelske televizijske prijenose, dok je internetski prijenos SIC-a bio prekinut. Neko vrijeme su web stranice tvrtke bile u “modu održavanja”. Prema portalu TheRecord, iako Impresa tvrdi da je povratila kontrolu nad svojim Amazon računom, LAPSUS$ grupa je putem Twitter računa Expressa tvrdila da ima pristup njenoj infrastrukturi. Početkom siječnja 2022. godine, grupa napala je web stranice Ministarstva zdravlja Brazila. Skupina je ciljala i južnoameričke telekomunikacijske pružatelje Claro i Embratel.

Prvi poznati kibernetički napad počinjen od strane Lapsus$ grupe bio je usmjeren prema Ministarstvu zdravstva u Brazilu. Web stranica Ministarstva zdravstva srušena je u petak, 10. prosinca oko 1 sat ujutro. Lapsus$ grupa je ostavila poruku “Kontaktirajte nas ako želite povrat svojih podataka”, s njihovim Telegram i e-mail adresama na početnoj stranici web mjesta ministarstva nakon što su izvršili ekstrakciju i brisanje 50 TB podataka na internim poslužiteljima. Do petka popodne poruka je uklonjena, ali web stranica i korisnički podaci u aplikaciji “ConecteSUS”, koja omogućuje Brazilcima dobivanje certifikata o cijepljenju protiv COVID-a, ostali su nedostupni, uzrokujući poteškoće putnicima koji su potvrde trebali za ulazak odnosno izlazak iz zemlje. 19. listopada 2022., brazilski građanin za kojeg se vjeruje da je član Lapsus$-a uhićen je te naknadno optužen za napade na Ministarstvo zdravstva Brazila i druge kibernetičke kriminalne aktivnosti nakon operacije “Dark Cloud”. Lapsus$ također je ciljao desetke drugih ogranaka vlade Brazila, uključujući ministarstvo gospodarstva, saveznu cestovnu policiju i druge. Vjeruje se da su ukradeni podaci trajno izbrisani, pitanje je što je s arhiviranim podacima ako su postojali.

18. rujna 2022., pojavilo se 90 videozapisa u kojima se prikazuje tzv. “game footage” vezanim uz Grand Theft Auto VI na GTAForums. Smatra se da je napadač koji stoji iza ovog napada član LAPSUS$ grupe. 25. prosinca 2023. priopćeno je da su dodatni sadržaji dobiveni iz data breacha godinu dana ranije, uključujući datoteke za planirani nastavak igre Bully, Python kod za Grand Theft Auto VI i potpuni izvorni kod za Grand Theft Auto V, koji uključuje naznake planiranog dodatnog sadržaja/nadogradnje za postojeću igru.

21. siječnja 2022., Lapsus$ grupa je dobila pristup poslužiteljima tvrtke za upravljanje identitetom i pristupom Okte, putem kompromitiranog računa inženjera korisničke podrške treće strane. Okta je potvrdila napad 25. siječnja 2022. Na temelju završnog izvješća o forenzici David Bradbury, jedan od glavnih i odgvornih za sigurnost u Okti, izjavio je da je napad utjecao samo na dva aktivna korisnika. Okta je počela istraživati tvrdnje o hakiranju nakon što je Lapsus$ podijelio snimke zaslona u Telegram kanalu implicirajući da su provalili u mreže korisnika Okte. Izvorno, Okta je rekla da je Lapsus$ hakirao pristup Daljinskom radnom stolu (RDP) inženjera korisničke podrške Sitela tijekom perioda od pet dana između 16. i 21. siječnja.

23. veljače 2022., tehnološka tvrtka Nvidia postala je svjesna provala u svoje sustave. Lapsus$ grupa tvrdi da ima 1 TB podataka iz Nvidije i prijeti objavom “potpunih datoteka silicija, grafike i računalnih sklopovlja za sve recentne GPU-ove tvrtke Nvidia, uključujući RTX 3090Ti i nadolazeće revizije” ako Nvidia ne objavi izvorni kod svojih upravljačkih programa uređaja. 3. ožujka objavljene su informacije za pristup kredencijalima za više od 71.000 zaposlenika Nvidije.

4. ožujka 2022., Lapsus$ je objavio 190 GB torrenta s internim podacima tvrtke za proizvodnju telefona Samsung, uključujući izvorni kod za liniju telefona Samsung Galaxy. Samsung je potvrdio napad tri dana kasnije.

8. ožujka 2022., argentinska e-trgovina Mercado Libre potvrdila je da su podaci korisnika za 300.000 kupaca bili dostupni Lapsus$ grupi nakon njihovog napada. Grupa je također tvrdila da imaju pristup 24.000 repozitorija koji pripadaju Mercado Libre.

10. ožujka 2022., tvrtka za videoigre Ubisoft potvrdila je da je doživjela “kibernetički sigurnosni incident”, iako podaci korisnika nisu bili dostupni.

1. ožujka 2022., Lapsus$ je dobio pristup korisničkom računu unutar telekomunikacijske tvrtke T-Mobile. Visoko pozicionirani član Lapsus$-a pod pseudonimom “White” neuspješno je pokušao dobiti pristup računima T-Mobilea FBI-ja i Ministarstva obrane Sjedinjenih Američkih Država. Naposljetku, Lapsus$ je uspio dobiti pristup repozitorijima izvornog kôda koji pripadaju T-Mobileu.

20. ožujka 2022., Lapsus$ je objavio snimku zaslona serverske platforme za razvoj Microsofta, Azure DevOps, na njihovom Telegram kanalu. Sljedećeg dana, grupa je objavila zip datoteku veličine 37 GB koja sadrži, između ostalog, “90 % izvornog kôda za pretraživač Bing”.

30. ožujka 2022., IT tvrtka sa sjedištem u Luksemburgu, Globant, potvrdila je da im je mreža kompromitirana od strane Lapsus$ grupe.

15. rujna 2022., Uber je objavio da su bili napadnuti od strane Lapsus$ grupe.

Lapsus$ grupa predstavlja ozbiljnu prijetnju kibernetičkoj sigurnosti s visokom razinom sofisticiranosti u izvođenju svojih napada. Kroz analizu njihovih tehnika, motivacija i najpoznatijih napada, otkrivamo da grupa ne pokazuje nikakav oblik profesionalizma čak i unutar kriminalnih krugova. Unatoč uhićenjima i optužbama, Lapsus$ održava svoj javni profil, komunicira putem Telegrama i e-pošte te nastavlja s iznudom i objavljivanjem ukradenih podataka. Napadi na različite sektore, uključujući zdravstvo, tehnologiju i igraću industriju, ukazuju na širinu njihove mete i sposobnost prilagodbe. Napadi poput onih na Impresu, Ministarstvo zdravstva u Brazilu, Rockstar Games, Nvidia, Samsung, Microsoft, te druge tvrtke, pokazuju da Lapsus$ grupa nije ograničena ni po industriji ni po geografskom području. Njihove tehnike, uključujući phishing, malware infekcije, ransomware napade te napade na infrastrukturu, prikazuju širok spektar vještina i sposobnosti prilagodbe njihovih taktika.

https://en.wikipedia.org/wiki/Lapsus$

https://krebsonsecurity.com/2022/03/a-closer-look-at-the-lapsus-data-extortion-group/

https://www.theverge.com/22998479/lapsus-hacking-group-cyberattacks-news-updates

https://www.fbi.gov/wanted/seeking-info/lapsus

https://securityscorecard.com/research/lapsus-update/

https://www.provendata.com/blog/lapsus-ransomware/#:~:text=The%20group%20employs%20a%20variety,data%20through%20remote%20desktop%20tools.

https://securityaffairs.com/126236/cyber-crime/impresa-lapsus-ransomware.html

https://www.blackberry.com/us/en/solutions/endpoint-security/ransomware-protection/lapsus