Lapsus$-Gruppe schlägt wiederholt zu

Datendiebstahl bei Microsoft, Nvidia, Samsung und Okta

23. März 2022, 12:00 Uhr | Wilhelm Greiner
© Wolfgang Traub

Cyberkriminelle der südamerikanischen Lapsus$-Gruppierung haben sich Zugang zu internen Systemen bei Microsoft verschafft und 37 GByte vertraulicher Daten exfiltriert und veröffentlicht, darunter laut US-Medienberichten Quellcode von 250 Microsoft-Projekten wie etwa der Suchmaschine Bing. Auch der Anbieter von Authentifizierungslösungen Okta bestätigte, einem Datendiebstahl zum Opfer gefallen zu sein. Des Weiteren erbeutete die derzeit sehr rege Angreifergruppe jüngst Code-Signatur-Zertifikate des Grafikkartenherstellers Nvidia sowie Quellcode von Samsung. Die spektakuläre Serie erfolgreicher Einbrüche lässt aufhorchen.

Die Erpressergruppe Lapsus$ hatte im Januar Zugang zu internen Systemen Microsofts. Der Konzern aus Redmond verkündete, man untersuche den Vorfall bereits.

Auch bei Okta gab es – ebenfalls im Januar – einen erfolgreichen Einbruch. Der Authentifizierungsanbieter gab inzwischen bekannt, dass 2,5 Prozent seiner Kunden von diesem Datendiebstahl betroffen sind. Okta habe diese Kunden bereits kontaktiert.

Die Lapsus$-Gruppe hat zudem laut eigenen Angaben 1 TByte Unternehmensdaten von Nvidia erbeutet, darunter Interna zu Nvidias Technologien und Passwörter der Mitarbeiter. Kurz darauf erklärte die Gruppe, dass Nvidias Sicherheitsabteilung einen Gegenangriff (Hackback) durchgeführt hatte. Ziel war es hier offenbar, einen Leak der entwendeten Interna zu verhindern, indem Nvidias Leute die VMs der Angreifer verschlüsselten. Die Lapsus$-Gruppe erklärte dazu, man habe die Daten bereits an anderer Stelle gespeichert.

Außerdem hat Lapsus$ 190 GByte Daten von Samsung entwendet und auf Bittorrent geleakt. Laut Medienberichten umfasst der Datenbestand unter anderem Quellcode von Knox, Samsungs Containerisierungs- und Security-Management-Framework, sowie von Samsungs Trusted Apps.

Anbieter zum Thema

zu Matchmaker+
„Auch Unternehmen, die bereits gut im Bereich der IT-Sicherheit aufgestellt sind, stellen für hochmotivierte Angreifer kein uneinnehmbares Ziel dar“, warnt Tim Berghoff von G Data.
„Auch Unternehmen, die bereits gut im Bereich der IT-Sicherheit aufgestellt sind, stellen für hochmotivierte Angreifer kein uneinnehmbares Ziel dar“, warnt Tim Berghoff von G Data.
© G Data Cyberdefense

„Auch Unternehmen, die bereits gut im Bereich der IT-Sicherheit aufgestellt sind, stellen für hochmotivierte Angreifer kein uneinnehmbares Ziel dar“, kommentiert Tim Berghoff, Security Evangelist bei G Data CyberDefense. Die Tatsache, dass die Erpressergruppe bereits zwei Monate Zugang zu den betroffenen Netzwerken hatte, mache dies besonders deutlich. „Es ist zu erwarten, dass es weitere Angriffe geben wird“, so Berghoff, „welche direkt auf Informationen zurückgehen, auf die die Täter im Zuge der Angriffe für mehrere Wochen Zugriff hatten.“ Damit bewahrheite sich G Datas Prognose, dass Software-Lieferketten dieses Jahr verstärkt unter Beschuss geraten werden.

Ebenfalls bedenklich: Solche Angreifergruppen machen laut dem deutschen Security-Anbieter offensive Recruiting-Arbeit: Sie suchen offen nach Unterstützern, die gegen Bezahlung Zugriff auf Ressourcen ermöglichen sollen.

„Lapsus$ ist eine südamerikanische Hacker-Gruppe, die kürzlich mit Cyberangriffen auf einige hochrangige Ziele in Verbindung gebracht wurde“, erläutert Lotem Finkelsteen, Head of Threat Intelligence and Research bei Check Point Software Technologies. „Die Cyber-Gang ist für Erpressungen bekannt, bei denen sie mit der Herausgabe sensibler Informationen droht, falls die Forderungen ihrer Opfer nicht erfüllt werden.“ Dieser Ansatz ist in der Branche als „doppelte Erpressung“ bekannt.

„Die Gruppe hat sich damit gebrüstet, in Nvidia, Samsung, Ubisoft und andere Unternehmen eingebrochen zu sein“, so Finkelsteen weiter. Wie es der Gruppe gelungen ist, in diese Ziele einzudringen, sei bislang nie völlig klar geworden. Doch der Einbruch bei Okta könnte erklären, wie Lapsus$ seine jüngsten Erfolge erzielen konnte: „Über private Schlüssel, die in Okta abgerufen werden, könnte die Cyberbande den Zugang zu Unternehmensnetzwerken und -anwendungen erhalten haben“, mutmaßt der Check-Point-Experte. „Eine Sicherheitslücke bei Okta könnte daher katastrophale Folgen haben. Wenn Sie Okta-Kunde sind, empfehlen wir Ihnen dringend, äußerste Wachsamkeit in Sachen der IT-Sicherheit walten zu lassen.“ Das volle Ausmaß des Vorfalls werde sich erst noch zeigen.


Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu G Data Software AG

Weitere Artikel zu CONNECT GmbH KOMMUNIKATIONSSYSTEME

Weitere Artikel zu Cybercrime

Weitere Artikel zu Broadcom

Weitere Artikel zu Desko GmbH

Matchmaker+