A l’instar de l’attaque dévastatrice de SolarWinds en 2020, nous observons que les acteurs malveillants continuent de mettre l’accent sur la compromission des infrastructures informatiques critiques et des chaînes d’approvisionnement.
Il semble que le groupe cybercriminel LAPSUS$ ait été extrêmement actif au cours des derniers mois, avec une activité croissante contre des cibles de grande renommée. LAPSUS$ jouit d’une solide réputation en matière de piratages réussis, avec le même schéma de vol de propriété intellectuelle, comme de code source. Le 22 mars, LAPSUS$ a déclaré avoir frappé une nouvelle fois et s’être introduit chez Okta, un fournisseur de gestion des accès. Cette déclaration intervient quelques jours seulement après l’annonce de la violation du portail Azure DevOps de Microsoft et deux heures seulement après l’annonce de leur deuxième compromission en un an de LG Electronics.
Le 10 mars, LAPSUS$ a publié sur son réseau de recrutement Telegram qu’il cherchait à acheter, auprès d’initiés, des informations d’identification pour de grandes entreprises telles que des sociétés de télécommunications comme ATT et Telefonica, et de grandes sociétés technologiques comme Microsoft et Apple. Bien que cela n’ait pas été vérifié, la sollicitation active de LAPSUS$ pour acheter des informations d’initiés par le biais de canaux Telegram dédiés a probablement contribué à leur succès.
La plus grande inquiétude concerne l’affirmation de LAPSUS$ selon laquelle le groupe aurait piraté Okta. Dans sa déclaration, LAPSUS$ affirme avoir accès à un compte Superuser/Admin pouvant lui permettre de réinitialiser tout compte utilisateur client de son choix. Cela pourrait inclure la réinitialisation des mots de passe, l’attribution de mots de passe temporaires et la réinitialisation de l’authentification multifactorielle. Si cela est vrai, l’impact pourrait être dévastateur, étant donné qu’Okta détient une base de plus de 15 000 clients.
Notre secteur est souvent trop focalisé sur les ransomwares et les acteurs malveillants qui prennent en otage des données critiques pour en tirer un avantage financier. LAPSUS$ a toujours montré qu’il n’était pas ou peu intéressé par le déploiement de ransomwares, mais qu’il se concentrait plutôt sur l’extorsion. Ils ont l’habitude d’annoncer une violation avec des captures d’écran pour identifier leur accès, puis de divulguer les données volées quelques jours plus tard. Il est difficile de confirmer les véritables motivations de LAPSUS$ dans ces attaques avec les données actuelles disponibles publiquement. Ils ont déclaré eux-mêmes qu’elles ne sont pas de nature politique, et il n’a pas encore été révélé si des demandes financières ont été faites dans les piratages les plus récents.
