大数据文摘出品
之前,一个神秘的黑客组织攻击了微软、英伟达和三星,轰动一时。
这个组织名为Lapsus$,在攻击了英伟达和三星后,还将一些数据公布于众,很多人都在猜测这个神秘黑客组织的身份,现在这件事有了眉目。
网络安全研究人员调查了一系列和Lapsus$有关的攻击事件,发现攻击源竟然来自一名16岁的少年,他住在英国牛津附近的母亲家中。
彭博社报道,代表被攻击公司调查黑客组织Lapsus$的四名调查人员表示,他们认为这名少年是主谋。
并且,该组织还在招募大公司内部人员作为攻击的卧底。
除了英国少年,还有巴西少年,团伙可能超过7人
4位研究人员利用黑客攻击的行为证据以及公开信息将这名青少年与黑客组织联系起来,怀疑疑这名青少年实施了Lapsus$相关的几起攻击事件,但是他们并没有能够确凿地将他与每一起案件都联系起来。
调查人员称,这名少年黑客在网上化名为“ White”和“ breachbase”,是一名未成年人,没有被执法部门公开指控有任何不当行为。
调查人员认为他还有其他团伙成员,据调查人员称,Lapsus$的另一名成员涉嫌是一名居住在巴西的青少年。一名对该组织进行调查的人士表示,安全研究人员已经确认了7个与黑客组织有关的独特账户。
另一位参与此项研究的人士说,这位少年黑客技术非常娴熟,而且速度非常快,以至于研究人员起初以为他们的攻击采用的是自动程序。
据调查人员称,Lapsus$的另一名成员涉嫌是一名居住在巴西的青少年。一名对该组织进行调查的人士表示,安全研究人员已经确认了7个与黑客组织有关的独特账户,这表明该组织的活动可能还涉及其他人。
此前,文摘菌报道Lapsus$的时候也发现,Lapsus$的“成名之作”就是在巴西,在那里,Lapsus$黑了巴西卫生部,以及两家南美电信运营商Claro和Embratel。
这么看来,这个调查的结果可信度还是挺高的。
居然有内鬼协助?
微软将Lapsus$组织称为为“DEV-0537”,并表示该组织已经成功地从受害公司招募了内部人员,以帮助他们进行黑客攻击。
微软在一篇博文中表示:“与大多数活动团体不同,DEV-0537似乎没有掩盖自己的踪迹。”
“他们甚至宣称自己对社交媒体进行了攻击,或者宣称自己有意从目标机构的员工那里购买证件。Dev-0537开始以英国和南美洲的组织为目标,但扩大到全球目标,包括政府、技术、电信、媒体、零售和保健部门的组织。”
当然,这帮少年黑客的行径也引发了一些其他黑客的不满,这名十几岁的英国黑客的个人信息,包括他的地址和他父母的信息,都被黑客对手发布到网上。
在泄露的材料中,一位自称是男孩母亲的妇女通过门铃对讲系统与彭博社记者交谈了大约10分钟。这所房子是一座不起眼的联排房屋,坐落在一条安静的小街上,距离牛津大学大约五英里。
这位妇女说,她不知道针对她儿子的指控或泄露的材料。她说,她很不安的是,视频和照片,她的家和青少年的父亲的家包括在内。这位母亲说,这名少年就住在这个地址,并曾受到其他人的骚扰,但许多其他泄露的细节无法得到证实。
她拒绝以任何方式讨论她的儿子,也不让他接受采访,她说这是执法部门的事,她正在联系警方。
泰晤士河谷警察局和负责调查英国黑客事件的国家犯罪局并没有立即回应有关这名青少年黑客的消息。美国联邦调查局旧金山办事处拒绝对此事发表评论,该办事处正在调查至少一起Lapsus$入侵事件。
炫技还是敛财,两者都有?
说到这群少年黑客的动机,调查人员表示,他们认为该组织的动机是恶名和金钱。
不过,文摘菌从Lapsus$的行动轨迹来看,这帮少年黑客,可能刚开始就是进行一场闹剧,然后发现可以炫技收获公众的关注,最后才发现原来还可以敛财。
起初,他们只是攻击一些政府部门和职能部门的网站以及账户。
后来,为了产生更大的影响,Lapsus$拿下葡萄牙最大的媒体综合体Impresa旗下的报纸Expresso的推特账户是LAPSU$的第一次出圈事件。
在控制了Expresso的推特账户之后,LAPSU$发了一条推特,“LAPSU$的人是葡萄牙新总统。”LAPSU$还声称自己以及控制了Impresa所有的平台,这次袭击也成为葡萄牙历史上最大的网络安全事件之一。
到这个时候,LAPSU$并没有提出任何要求,更多的是在炫技,Lapsus$还公开嘲弄他们的受害者,泄露他们的源代码和内部文件。据三个回应黑客攻击的人说,Lapsus$甚至加入了他们攻击过的公司的Zoom会议,在那里他们嘲笑试图修复的员工和顾问。
直到将目标对准了大型科技公司,Lapsus$才开始勒索金钱。
微软在一篇博客文章中表示,Lapsus$组织已经开始了一场“针对多个组织的大规模社会工程和勒索行动”。微软自己也承认,自己曾被 Lapsus$黑客攻击,该组织的主要作案手法是入侵公司内部系统,窃取他们的数据,然后索要赎金以保证数据不被泄露。
拉普苏斯还声称已经入侵了三星、沃达丰和育碧。在侵入英伟达和三星之后, Lapsus$在他们的 Telegram频道上发布了从该公司窃取的源代码。
星期二,在Lapsus$声称攻击Okta成为头条新闻之后,Lapsus$表示,它将从黑客攻击世界上最大的公司中抽出一些时间。
“我们的一些成员将休假到2022年3月30日。我们可能会安静一段时间,”黑客们在其Telegram 频道中写道。
“谢谢你理解我们。我们会尽快透露消息。”