Il gruppo Lapsus$ torna a far parlare di sé annunciando attraverso Telegram la pubblicazione del codice sorgente di Bing, Cortana e di altri progetti Microsoft (complessivamente sono circa 250). Il materiale sarebbe stato sottratto dai server Azure DevOps utilizzati internamente dai tecnici dell’azienda di Redmond.
Il sorgente razziato dai server Microsoft, una volta decompresso, pesa circa 37 GB e Lapsus$ ne ha avviato la distribuzione attraverso la piattaforma Bittorrent in modo da massimizzarne la diffusione.
Pubblicando i dati il team di Lapsus$ ha riferito che buona parte di essi è riconducibile al codice sorgente del motore di ricerca Bing mentre il 45% delle informazioni hanno a che fare con Bing Maps e Cortana.
I ricercatori di sicurezza che hanno in queste ore analizzato i file hanno confermato che sembrano essere legittimi ed effettivamente sottratti a Microsoft.
Alcuni dei progetti contenuti nell’archivio reso di pubblico dominio contengono email e documentazioni riservate che sono state chiaramente utilizzate internamente dagli ingegneri Microsoft per varie applicazioni mobili.
Non sembra essere presente codice sorgente riconducibile direttamente a Windows, Windows Server e Office: tutto il materiale appare correlabile con siti Web, infrastrutture online e applicazioni mobili utilizzate da Microsoft.
L’azienda di Redmond ha confermato di essere a conoscenza del presunto leak e che sono attualmente in corso di svolgimento una serie di verifiche.
Lapsus$ sta utilizzando lo stesso schema con molte aziende di elevato profilo: ricordiamo i recenti attacchi a NVidia e Samsung ma il gruppo sta concentrazione la sua attenzione su un ampio ventaglio di società. Di solito viene chiesto un riscatto in denaro che la vittima dovrebbe versare per evitare la pubblicazione dei dati sottratti.
Finora la maggior parte degli attacchi ha preso di mira repository di codice sorgente, permettendo agli aggressori di rubare dati riservati e sensibili e proprietari. Così si sono conosciuti ad esempio i dettagli tecnici sul funzionamento di Lite Hash Rate (LHR), una sorta di “limitatore” imposto da NVidia che permette di ridurre le capacità di mining delle GPU.
Non è dato sapere come Lapsus$ sia in grado di farsi largo così efficacemente nelle infrastrutture aziendali e razziare segreti industriali. L’ipotesi di molti analisti è che il gruppo stia pagando degli “insider“, soggetti senza scrupoli che hanno accesso ai sistemi della aziende prese di mira, per aprire l’accesso dall’esterno.
La teoria è plausibile tanto che il gruppo Lapsus$ ha annunciato in precedenza di essere disposto a comprare l’accesso alle reti dai dipendenti delle società.
Vale la pena sottolineare che il download di materiale riservato costituisce di per sé reato; per non parlare dell’ulteriore diffusione che ne viene fatta utilizzando la rete peer-to-peer e i file Torrent.