Sophos Cloud Optix
** 本記事は、Uber and Rockstar – has a LAPSUS$ linchpin just been busted (again)? の翻訳です。最新の情報は英語記事をご覧ください。**
2022 年 3 月、LAPSUS$ という奇妙な名前は、悪名高く活発なサイバー犯罪者集団のニックネームとして大きな話題になりました。
DEADBOLT、Satan、Darkside、REvil など、インパクトが強く破壊的なハンドルネームがサイバー犯罪者集団の間では一般的である中、LAPSUS$ は珍しい名称でした。
しかし 3 月に記事で述べたように、lapsus は現代ラテン語で「データ漏洩」を意味し、末尾のドル記号は、BASIC 変数が数字ではなく文字列であることを示す伝統的な方法で、金銭的価値とプログラムの 2 つの意味を示す記号です。
ギャング、チーム、クルー、集団、共同体、一団などのさまざまな呼び方があるのと同じように、攻撃者によるサイバー犯罪の目的もさまざまです。
被害者から金銭を強要したり、暗号通貨をゆすり取ることに注力したりしているように見えるときもあれば、単に犯罪を見せびらかしているだけのように思われる場合もあります。
Microsoft は同グループを DEV-5037 と呼び、2022 年 3 月、LAPSUS$ に侵入されてソースコードを数ギガバイト分持ち出されたことを認めました。
2FA サービスプロバイダー Okta も LAPSUS$ の被害者として有名です。ハッカーは RDP からサポート技術者のコンピュータにアクセスし、Okta のネットワークに直接ログインしているかのように装い、Okta 内部のさまざまなシステムにアクセスしました。
このサポート技術者は Okta の社員ではなく、Okta と契約している会社で働いていたため、攻撃者は実質的に Okta のネットワーク自体を侵害することなく、そのネットワークに侵入することができたのです。
興味深いことに、Okta の侵入は 2022 年 1 月に起こったにもかかわらず、Okta もその契約企業も、フォレンジック調査が行われていた約 2 ヶ月間、侵入を公には認めませんでした。
しかし皮肉にも、Okta が契約企業から最終的なフォレンジックレポートを受け取ったまさにその日に、LAPSUS$ が侵入したことを「証明した」スクリーンショットをダンプして、侵入を公にしてしまいました (LAPSUS$ がレポートを受け取る前に、事前に連絡を受けていたかどうかは不明です)。
次に、グラフィックチップのベンダーである Nvidia が攻撃を受け、データ窃取の被害に遭いました。さらに「おとなしくグラフィックスドライバのコードをオープンソース化したほうが身のためだぞ」と警告を受けるという、これまでで最も奇妙なランサムウェアの要求が行われたようです。
Naked Security のポッドキャスト (S3 Ep73) でも述べたとおり、
ランサムウェア攻撃を受けると、「暗号通貨を買って我々に送ってくれれば、ファイルをすべて解読し、データを削除します」という脅迫が通常行われます。
しかし、Nvidia のケースにおけるランサムウェア攻撃では、「グラフィックカードをすべて利用できるようにして、フルパワーで暗号通貨を採掘できるようにすれば、盗んだ大量のデータのことは全部忘れてあげる」というものでした。
これは、昨年 (2021 年) に Nvidia が行った、ゲーマーに大人気だった過去の変更に関連しています。この変更は、グラフィックス処理以外の目的で市場の Nvidia GPU を買い占めていた暗号通貨の採掘者にとっては不都合だったのです。
異なるタイプのサイバー犯罪者
LAPSUS$ のオンラインにおける活動が、深刻かつ恥も外聞もない犯罪行為であるため、侵害後の動きがむしろ古めかしく見えることもあります。
今日の数百万ドル規模のランサムウェア攻撃者の主な動機が「金銭」であるのとは異なり、LAPSUS$ の破壊的な攻撃の目的は、単なる自慢や「イタズラ半分に (for the lulz)」行うことが一般的だった 1980 年代後半から 1990 年代に流行った「ウイルス書き込み」の感覚に近いように思われます。
(「for the lulz」は大雑把に訳すと、侮辱的で滑稽な笑いを引き起こすことであり、「laughing out loud」の略語である LOL が元になっています。)
<pそのため、Okta に対する攻撃の不愉快なスクリーンショットが公開されたわずか 2 日後に、ハッキンググループのメンバーであるとの疑いで英国の若者を逮捕したとロンドン市警が発表したとき、世界の IT メディアはすぐに LAPSUS$ との関連性を指摘しました。
ソフォスが知る限り、英国の法執行機関はこの逮捕の容疑者に関連して LAPSUS$ という言葉を用いたことはなく、2022 年 3 月には「本件は継続中です」とだけ記されていました。
しかし、逮捕された若者の 1 人が 17 歳で、イギリスのオックスフォードシャー出身であることから、LAPSUS$ との明らかな関連性が推測されています。
興味深いことに、オックスフォードの名前の由来となったオックスフォード郊外の町に住むとされるこのハッカーは、少し前に、不満を抱えていたサイバー犯罪のライバルによって、いわゆるドキシング (晒し) として知られる行為によって、情報を暴露されていたのです。
ドキシングとは、サイバー犯罪者が盗んだ個人文書や詳細情報を意図的に公開することで、多くの場合、個人を警察による逮捕の危険にさらしたり、情報弱者や悪意のある相手からの報復の危険にさらしたりすることを目的としています。
このドキシング犯によると、ライバルの自宅の住所、彼や近親者の個人情報や写真、そして彼が LAPSUS$ の中心人物である疑惑が浮上するような証拠を流出させたようです。
再び脚光を浴びる LAPSUS$
最近の Uber のハッキング事件の犯人 が、18 歳で目立ちたがり屋だったということが広く知られているため、LAPSUS$ の名前が再び話題になっていることは想像に難くありません。
Chester Wisniewski が、最近のポッドキャストのミニエピソードで下記のように説明しています。
この事件は「面白半分に」行われたようです。Uber のインシデントで使用されているさまざまなツールやユーティリティ、プログラムのスクリーンショットという形で、ネットワーク上で飛び交う戦利品を集め、自慢して賞賛を得るため公に投稿したようです。
Uberのハッキングのすぐ後、Rockstar Games のサイバー侵害により、近日発売予定のビデオゲーム「GTA 6」のビデオクリップと思われる約 1 時間分のスクリーンショットが、デバッグやテストのために作成されたものと思われる形で流出しました。
この攻撃には、LAPSUS$ と同じ若いハッカーが関与していると推定されています。
レポートによると、今回このハッカーは単に自慢をする以上の目的があったようで、「交渉するつもり」と発言したと伝えられています。
今週初め、ロンドン市警が「オックスフォードシャー州の 17 歳の少年をハッキングの疑いで逮捕した」とツイートした際、ツイッターが大いにざわついたことを容易に想像できるかと思います。
On the evening of Thursday 22 September 2022, the City of London Police arrested a 17-year-old in Oxfordshire on suspicion of hacking, as part of an investigation supported by the @NCA_UK’s National Cyber Crime Unit (NCCU).
He remains in police custody. pic.twitter.com/Zfa3OlDR6J
— City of London Police (@CityPolice) September 23, 2022
「同じ人物に違いない!」と皆が思ったのです。
結局のところ、容疑者が一人なのか二人なのか、LAPSUS$ が本当に関係しているのかどうかは、よくわからないというのが答えです。
一度騙そうとすると嘘と嘘が何重にも交わり合って、最後まで嘘を突き通さねばならぬほど複雑になってしまうものです。