研究人员追踪了来自英国的16岁黑客的网络攻击

认证服务提供商Okta周三将Sitel列为第三方，与该公司1月底发生的网络安全事件有关，该事件允许LAPSUS$敲诈团伙远程接管一名客户支持工程师的内部账户。

该公司补充称，366家公司客户，或其客户群的2.5%，可能受到“高度受限”妥协的影响。

Okta首席安全官戴维·布拉德伯里在一份声明中说：“2022年1月20日，Okta安全团队接到通知，Sitel客户支持工程师的Okta账户（从一个新的地点）增加了一个新的因素。”。“这个因素是一个密码。”

此前，LAPSUS$在本周早些时候发布了Okta应用程序和系统的截图。大约两个月前，黑客在2022年1月16日至21日的五天时间内使用远程桌面协议（RDP）访问了Okta的内部网络，直到检测到MFA活动，该账户被暂停，等待进一步调查。

尽管该公司最初试图淡化这一事件，但LAPSUS$集团却指责这家总部位于旧金山的公司所说的是谎言，称“我仍然不确定这是一次[sic]失败的尝试吗？登录到[sic]超级用户门户网站，可以重置密码，约95%的客户的MFA没有成功？”

Okta说，与它的名字相反，SuperUser用于执行与其客户租户相关的基本管理功能，并以最低特权原则（PoLP）为原则运作，只允许支持人员访问与其角色相关的资源。

Okta因延迟将事件通知客户而受到批评，它指出，它在1月21日与Sitel分享了妥协指标，Sitel随后聘请了一家未具名的法医公司，该公司随后继续进行调查，并在2022年3月10日分享了调查结果。

布拉德伯里说：“我对我们通知Sitel和发布完整调查报告之间的漫长时间感到非常失望。”。“经过深思熟虑，一旦我们收到Sitel总结报告，我们应该更快地了解其含义。”

安全研究员Runa Sandvik在Twitter上说：“如果你对Okta声称‘服务未被破坏’感到困惑，请记住，该声明纯粹是一个法律词汇汤。”。“事实是，第三方被违反；该违反影响了Okta；未能披露该信息影响了Okta的客户。”

一个16岁的孩子在LAPSUS$后面？

Okta和微软的安全漏洞是LAPSUS$集团发动的大规模渗透中的最新一次，该集团还袭击了Impresa、NVIDIA、三星、沃达丰和育碧等知名受害者。它还以在活跃的电报频道上宣传其征服而闻名，该频道拥有超过46200名成员。

网络安全公司Check Point将LAPSUS$描述为一个“来自巴西的葡萄牙黑客组织”，微软称其“独特的交易组合”，包括使用SIM卡交换、未修补的服务器漏洞、黑暗网络侦察和基于手机的网络钓鱼战术来锁定受害者。

这家以色列公司说：“然而，该组织的真正动机仍不清楚，即使它声称纯粹是出于财务动机。”。“LAPSUS$与他们的追随者有着密切的联系，甚至还发布了互动式民意调查，以确定他们下一个不幸的目标应该是谁。”

但有一个有趣的转折点是，彭博社援引四名研究人员的话说，“一个住在英国牛津附近他母亲家里的16岁男孩”可能是这项手术背后的大脑。LAPSUS$的另一名成员被怀疑是一名居住在巴西的青少年。

此外，网络安全专家布莱恩·克雷布斯（Brian Krebs）的最新报告详细介绍了名为“Oklaqq”又名“WhiteDoxbin”的核心LAPSUS$会员的活动。该名青少年黑客的网络别名为“White”和“Breakbase”，他可能也参与了去年7月对游戏制造商Electronic Arts（EA）的入侵

“在2021年5月，WhiteDoxbin的电报ID被用来创建一个基于电报的服务上的帐户，用于发起分布式拒绝服务（DDoS）攻击，在那里他们将他们自己称为‘@ BraskBASE’，”克雷布斯指出。“去年EA黑客攻击的消息首先由用户‘Breakbase’在英语黑客社区RaidForums上发布到网络犯罪地下组织，该论坛最近被FBI查封。”