上周末，“微軟被黑客組織入侵，云服務(wù)關(guān)鍵源代碼泄露”的消息在安全社區(qū)開始流傳。微軟本周二表示，他們正在調(diào)查有關(guān)Lapsus$數(shù)據(jù)勒索黑客組織入侵其內(nèi)部Azure DevOps源代碼存儲庫并竊取數(shù)據(jù)的“傳聞”。

　　與常見的勒索軟件組織不同，Lapsus$不會在受害者的設(shè)備上部署勒索軟件，而是實施“數(shù)據(jù)綁票”：以大公司的源代碼存儲庫為目標(biāo)，竊取他們的專有數(shù)據(jù)，然后試圖以數(shù)百萬美元的價格將這些數(shù)據(jù)賣回給受害公司。

　　雖然目前尚不清楚該勒索組織是否成功拿到了被盜數(shù)據(jù)的贖金，但可以確定的一點(diǎn)是Lapsus$并非虛張聲勢的組織，因為過去幾個月中該組織對英偉達(dá)、三星、沃達(dá)豐、育碧和Mercado Libre等知名企業(yè)的攻擊最后都得到了證實。

　　Lapsus$聲稱已經(jīng)“搞定”微軟

　　上周日清晨，Lapsus$團(tuán)伙在Telegram發(fā)布了微軟內(nèi)部源代碼存儲庫的屏幕截圖（下圖），以此來證實自己成功入侵了微軟的Azure DevOps服務(wù)器。

　　該屏幕截圖顯示Azure DevOps存儲庫，其中包含Cortana和各種Bing項目的源代碼遭泄露（文件名分別為“Bing_STC-SV”、“Bing_Test_Agile”和“Bing_UX”）。

　　屏幕截圖還顯示了其他源代碼存儲庫，但不知道具體包含什么。

　　奇怪的是，不知是粗心還是什么別的原因，該勒索團(tuán)伙在屏幕截圖中留下了登錄用戶名的首字母縮寫“IS”，這可能使微軟能夠識別和保護(hù)被盜的帳戶（下圖）：

　　泄露失竊賬戶的信息可能意味著Lapsus$已經(jīng)失去了對該賬戶的控制，或者只是在嘲弄微軟，眾所周知，勒索團(tuán)伙與受害者之間經(jīng)常會發(fā)生類似的心理戰(zhàn)。

　　發(fā)布屏幕截圖后不久，Lapsus$刪除了帖子，并發(fā)了一條消息稱“暫時刪除，稍后再發(fā)布”：

　　然而，當(dāng)時不少安全研究人員已經(jīng)保存了屏幕截圖并在Twitter上分享（下圖）：

　　雖然微軟并未確認(rèn)源代碼泄露，目前只是表示開始調(diào)查攻擊（是否確實），但不幸的是，Lapsus$有著良好的記錄，他們聲稱的攻擊后來都被證實是真實的。而且該組織在勒索談判中的態(tài)度格外強(qiáng)硬，甚至大爆粗口，下面是Lapsus$對英偉達(dá)發(fā)出的通牒截圖（威脅不繳納100萬美元贖金將公開顯卡驅(qū)動源代碼）：

　　源代碼泄漏真的沒有風(fēng)險嗎？

　　雖然源代碼泄露會讓攻擊者更容易找到軟件中的漏洞，但微軟此前曾表示，源代碼泄露不會增加風(fēng)險。

　　微軟表示，他們的威脅模型假設(shè)攻擊者已經(jīng)了解他們的軟件是如何工作的，無論是通過逆向工程還是以前的源代碼泄漏。

　　“在微軟，我們有一種內(nèi)部源代碼方法——使用開源軟件開發(fā)最佳實踐和類似開源的文化——使源代碼在微軟內(nèi)部可見。這意味著我們的產(chǎn)品安全性不依賴于源代碼的保密性，我們的威脅模型假設(shè)攻擊者了解源代碼。”微軟在一篇關(guān)于SolarWinds攻擊者獲取其源代碼訪問權(quán)限的博客文章中解釋道：“因此查看（泄露）源代碼與風(fēng)險提升無關(guān)。”

　　但是，微軟“源碼泄露無風(fēng)險”的說法也許并不準(zhǔn)確。源代碼存儲庫通常還包含訪問令牌、憑據(jù)、API密鑰，甚至代碼簽名證書。

　　當(dāng)Lapsus$入侵NVIDIA并發(fā)布泄露數(shù)據(jù)時，其中還包括代碼簽名證書，其他攻擊者可使用這些證書給他們的惡意軟件代碼賦予合法簽名，造成更大的威脅。因為NVIDIA的代碼簽名證書能夠幫助惡意軟件繞過防病毒引擎，例如下圖：

　　使用被盜NVIDIA證書簽名Quasar RAT后門

　　不過微軟此前曾表示，他們有一項開發(fā)政策，禁止將API密鑰、憑據(jù)或訪問令牌等“秘密”包含在其源代碼存儲庫中。

　　但即使是這樣，也不意味著源代碼中不包含其他有價值的數(shù)據(jù)，例如私有加密密鑰或其他專有工具。

　　目前尚不清楚這些存儲庫中包含什么，但就像以前的受害者所遭遇的那樣，Lapsus$泄露被盜數(shù)據(jù)只是時間問題。