微软遭 Lapsus$ 黑客组织入侵，背后的骚操作防不胜防 _黑客组织

互联网时代，黑客攻击早已不是难得一见的新闻，可最近几日，仍有一起黑客攻击事件成功引发安全圈热议：微软遭黑客组织 Lapsus$ 入侵。
3 月 21 日晚， Lapsus$ 公开了从微软 Azure DevOps 服务器盗取的 37GB 源代码，这些被盗的源代码，用于微软的各种内部 Microsoft 项目，包括 Bing 搜索、Cortana 语音助手和 Bing 地图等。

文章插图
遭泄漏的源代码项目
第二天，微软发布公告确认，确实有一名员工账户遭到 Lapsus$ 黑客组织入侵，并且获取了对源代码存储库的有限访问权限。
通常情况下，一听到某家公司被黑客入侵，不少人下意识认为，肯定是这家公司的安全防范措施不到位。尽管这种推论确实存在，却并不适用于理解这次入侵，因为微软在安全防控方面，并非弱鸡。
微软堪称安全行业的巨无霸，安全、合规、身份与管理部门的员工有万人之多，占员工总人数（约 20 万人）的 5% 。这些万中选一的精英人才，专门为企业安全保驾护航，完全不是吃素的。
这样看来， Lapsus$ 黑客组织同样不是吃素的。
Lapsus$ 是个黑客组织新秀， 2021 年 12 月因入侵巴西卫生部首次引发关注，从此开始疯狂席卷全球科技巨头，英伟达、三星、沃达丰等都遭其黑手。
更气人的是，这个组织的字典里没有低调二字，他们专门设立了一个 Telegram 频道，用来展示自己在入侵道路上的各种证明材料，此举甚至吸引了一大批追随者。
这次微软遭到入侵，尽管公告中并未透露账户是如何被入侵的，但微软还是提供了一个解题思路：枚举了 Lapsus$ 常用的 4 种入侵手法。

1、部署恶意 Redline 密码窃取程序，这是一种木马程序，能够获取密码和会话令牌；
2、从地下犯罪论坛购买密码和会话令牌；
3、向目标组织的员工 (或供应商/商业伙伴) 支付费用，直接购买他们的密码或二次认证口令；
4、在公共代码库中搜索公开的凭据。

文章插图

以上四种方法中， 1、3、4 都属常规操作，唯独 3 ，也就是直接向目标公司内部员工付费购买密码或二次认证口令，这波操作属实够骚，但也最有效。
3 月 10 日， Lapsus$ 在 Telegram 上发布了一则另类的招聘启事，面向各大电信运营商、科技巨头类公司雇员，求购 VPN、Citrix、Anydesk 等权限。当然，开出的报酬也非常诱人：周薪 2 万美金，这意味着每月高达 8 万美金，实属高薪没错了。

文章插图
明目张胆招聘内鬼
不知有多少相关员工看了会心动？毕竟，在整个安全链条上，最大的漏洞就是人。
“购买密码”这种操作属于「社会工程学攻击」的一种，指的是攻击者对目标对象进行心理操纵，使其步步走入提前设好的陷阱，最终泄漏机密信息。
而且， Lapsus$ 在一系列入侵攻击中，还利用了另外一种「社会工程学攻击」手段：MFA 双因子认证 (Multi-factor authentication) 。
很长时间以来， MFA 被看作是防止账户被盗最有效的核心防御手段之一，更重要的是，它在现实中已经被广泛使用。
比如当你登陆某平台时，在正确输入用户名和密码外， MFA 还需要你配合出示另一种验证因素，例如指纹、短信/语音验证码、数字口令等，只有顺利完成二次验证，才能访问账户。

文章插图

然而， Lapsus$ 这类黑客组织正在向外界证明， MFA 并非牢不可破。
由于很多 MFA 提供商允许用户接受手机应用程序推送验证通知、短信接收验证码、接听语音验证电话，或者简单按下屏幕上出现的确认按钮作为第二个因素，黑客组织利用这一点，向终端用户的合法设备发出多次 MFA 请求，目的只有一个：诱导用户接受 MFA 请求。