LAPSUS$ 해커들, 마이크로소프트와 인증 회사인 Okta 해킹했다고 밝혀

국내외 보안동향

by 알약4 2022. 3. 23. 09:00

LAPSUS$ Hackers Claim to Have Breached Microsoft and Authentication Firm Okta

LAPSUS$가 마이크로소프트 및 인증 서비스 제공업체인 Okta를 해킹했다고 밝혀 회사에서 조사를 진행하고 있다고 밝혔습니다.

이 사고는 Vice 및 Reuters가 처음으로 보도했으며, 해당 사이버 범죄 그룹이 회사의 내부 프로젝트와 시스템의 스크린샷과 소스코드를 공개한 후 이루어졌습니다.

유출된 압축 파일 37GB를 확인한 결과 해당 그룹이 Okta의 Atlassian 제품군, 사내 Slack 채널을 강조하는 이미지와 함께 마이크로소프트의 Bing, Bing Maps, Cortana와 관련된 저장소에 접근했을 수 있었던 것을 볼 수 있었습니다.

해당 해킹 그룹은 텔레그램에서 아래와 같이 밝혔습니다.

"많은 대기업에 인증 시스템을 제공하는 서비스치고는 보안 장치가 매우 부족하다고 생각합니다.”

또한 해당 그룹은 1년에 '두 번째'로 LG전자(LGE)를 해킹했다고 주장했습니다.

독립 보안 연구원인 Bill Demirkapi는 아래와 같이 밝혔습니다.

"LAPSUS$가 직원 비밀번호를 리셋할 수 있는 Cloudflare 테넌트에 접근할 수 있는 권한을 얻은 것으로 추측됩니다.”

"회사는 최소 2개월 동안 위반 사항을 공개적으로 인정하지 않았습니다."

LAPSUS$는 Okta의 데이터베이스를 침해하지 않았다고 분명히 밝히며, "Okta의 고객에게만 집중했다"고 말했습니다. 이는 Okta를 통해 내부 시스템에 대한 사용자 액세스를 인증하는 정부 기관 및 회사에 심각한 영향을 미칠 수 있습니다.

Okta의 CEO인 Todd McKinnon은 트위터를 통해 아래와 같이 밝혔습니다.

"2022년 1월 말, Okta는 써드파티 고객 지원 엔지니어의 계정을 도용하려는 시도를 탐지했습니다. 이 사고는 해당 업체에서 조사 및 조치했습니다."

"온라인에서 공유된 스크린샷은 이번 1월 발생한 사고와 관련이 있다고 생각합니다. 현재까지의 조사에 따르면, 1월 탐지된 활동 이외에는 공격이 현재까지 진행 중이라는 증거는 없습니다.”

Cloudflare는 이와 관련하여 예방의 의미로 지난 4개월 동안 비밀번호를 변경한 이력이 있는 직원의 Okta 크리덴셜을 리셋하고 있다고 밝혔습니다.

피해자의 데이터를 훔친 다음 해당 정보를 암호화하여 협박에 이용하는 기존 랜섬웨어 그룹과는 달리, 이 새로운 공격은 데이터 탈취 및 타깃 협박에 더욱 집중합니다.

해당 사이버 범죄 조직은 2021년 12월 말 활동을 시작한 후 몇 달 동안 Impresa, NVIDIA, Mercado Libre, Vodafone, 삼성, 그리고 가장 최근에는 Ubisoft를 공격해 유명한 기업을 다수 공격해 왔습니다.

Cymulate의 수석 보안 설계자인 Mike DeNapoli는 성명을 발표해 아래와 같이 밝혔습니다.

"서비스 제공업체나 소프트웨어 개발자를 공격하는데 성공할 경우 초기 공격의 범위를 넘어선 더욱 큰 영향을 미칠 수 있게 됩니다.”

"서비스와 플랫폼을 사용할 경우 공급망 공격을 방어해야 할 가능성이 있다는 사실을 염두해 두어야 합니다.”

출처:

중국의 ‘Mustang Panda’ 해커, 새로운 'Hodur' 악성코드 배포해 (0)	2022.03.24
새로운 Dell BIOS 버그, Inspiron, Vostro, XPS, Alienware 시스템 수백만 대에 영향 미쳐 (0)	2022.03.23
iPhone 기능을 악용해 모바일 사용자를 노리는 'CryptoRom' 크립토 사기 발견 (0)	2022.03.22
새로운 백도어, 오픈 소스 패키지 인스톨러로 프랑스 기업 노려 (0)	2022.03.22
해커들, ATM 기기에서 자금을 훔치기 위해 새로운 루트킷으로 은행 네트워크 공격해 (1)	2022.03.21

고정 헤더 영역