Microsoft подтвердила, что кибервымогателям из группировки Lapsus$ удалось получить «ограниченный доступ» к системам корпорации. Параллельно факт взлома признала компания Okta, специализирующаяся на управлении учетными записями и доступом (Identity and Access Management).
По словам представителей Okta, данный киберинцидент затронул около 2,5% клиентов. Для Microsoft ситуация сложилась более удачно: злоумышленники не смогли добраться до кода или данных клиентов.
Оказалось, что у группы Lapsus$ получилось пробраться в системы разработчика Windows с помощью единственного скомпрометированного аккаунта, который на данный момент уже отозван. К слову, сама Microsoft отслеживает вымогателей под именем DEV-0537.
Представители Okta также отметили, что киберпреступники завладели одним из аккаунтов специалиста, оказывающего техподдержку клиентам. Уточняется, что члены группировки получили доступ к ноутбуку сотрудника в период между 16 и 21 января.
Специалисты компании Cloudflare, занимающейся отражением DDoS-атак, прокомментировали взлом Okta, отметив следующее:
«Чтобы проникнуть в системы Okta, злоумышленникам пришлось не просто поменять пароль пользователя, а изменить аппаратный токен (FIDO), заточенный под этого пользователя. В результате специалистам было проще вычислить скомпрометированный аккаунт».
Напомним, что Lapsus$ также стоит за крупными взломами таких гигантов, как NVIDIA и Samsung.
