Lapsus$

Lapsus$
2024 로고
결성2021
설립자아리온 쿠르타즈
유형사이버 범죄 조직
형태스피어 피싱, SIM 스와핑, 소셜 미디어를 통한 공범 모집, 공갈, 해킹
회원7명 (2022년 3월 추정치)
공식 언어영어

Lapsus$LAPSUS$로 표기되며, 마이크로소프트에 의해 스트로베리 템페스트[1]로 분류되었고, 최근에는 ShinyHunters의 일부이거나 그 자체로 식별되는[2] 국제적인 공갈 중심[3] 해커 그룹으로, 회사 및 정부 기관에 대한 다양한 사이버 공격으로 알려져 있다.[4][5] 이 그룹은 여러 나라에서 활동했으며, 2022년에는 브라질과 영국에서 구성원들이 체포되었다.[6] 시티오브런던 경찰에 따르면, 구성원 중 최소 두 명은 십대였다.

Lapsus$는 사회공학, MFA 피로, SIM 스와핑[7] 및 공급업체 공격을 포함한 다양한 공격 벡터를 사용한다. 그룹이 대상 조직 내 특권 있는 직원의 자격 증명을 획득하면, 원격 데스크톱 도구를 사용하는 등 다양한 방법을 통해 민감한 데이터를 얻으려고 시도한다. 그 다음에는 공갈 시도가 이어진다. 처음에는 텔레그램 메시징 앱이 모집 및 피해자로부터 얻은 민감한 데이터를 게시하는 등 대중과의 소통에 사용되었다.[8]

Lapsus$에 귀속된 첫 번째 주요 사이버 공격은 2021년 12월 브라질 보건부의 컴퓨터 시스템에 대한 것이었다.[9] Lapsus$는 마이크로소프트, 엔비디아, 삼성그룹을 포함한 대형 기술 기업들에 대한 일련의 사이버 공격으로 명성을 얻었다. 이러한 공격 이후, 시티오브런던 경찰은 Lapsus$에 대한 경찰 수사와 관련하여 7명을 체포했다고 발표했다.[10] 그룹은 2022년 4월까지 활동이 중단된 것으로 여겨졌지만, 2022년 9월에 우버록스타 게임스를 포함한 다양한 대형 기업에 대한 유사한 공격 벡터를 통한 일련의 데이터 유출로 다시 등장한 것으로 추정되며, 이후 시티오브런던 경찰과 브라질 경찰에 의해 다시 체포되었다.[6] 이 그룹은 2022년 9월 이후 활동이 중단된 것으로 보이며, 구성원들은 다른 그룹으로 흩어지고[6] 영국인 구성원 두 명은 유죄 판결을 받았다.[11] 그룹의 창립 멤버 중 한 명인 아리온 쿠르타즈는 정신 시설에 무기한 수용 명령을 받았다.[12]

공격

브라질 보건부 (2021)

Lapsus$가 저지른 첫 번째 알려진 사이버 공격은 브라질 브라질 보건부에 대한 것이었다. 보건부 웹사이트는 12월 10일 금요일 오전 1시경에 폐쇄되었다. Lapsus$는 내부 서버에서 50TB의 데이터를 유출 및 삭제한 후 보건부 웹사이트 홈페이지에 "데이터를 돌려받고 싶으면 연락하세요"라는 메시지와 함께 텔레그램 및 이메일 주소를 남겼다.[9] 금요일 오후까지 메시지는 제거되었지만, 웹사이트와 브라질인에게 코로나 백신 접종 증명서를 제공하는 "ConecteSUS" 앱의 사용자 데이터는 여전히 사용할 수 없어 여행객들에게 혼란을 야기했다.[13]

Okta (2022)

2022년 1월 21일, Lapsus$는 제3자 고객 지원 엔지니어의 침해된 계정을 통해 신원 및 접근 관리 회사인 Okta 서버에 접근했다. Okta는 2022년 1월 25일에 침해를 확인했다.[14][15] 최종 포렌식 보고서에 따르면, Okta의 최고 보안 책임자 데이비드 브래드버리(David Bradbury)는 이 공격이 두 개의 활성 고객에게만 영향을 미쳤다고 말했다. Okta는 Lapsus$가 텔레그램 채널에서 Okta의 고객 네트워크를 침해했음을 암시하는 스크린샷을 공유한 후 해킹 주장을 조사하기 시작했다. 처음에 Okta는 Lapsus$ 해커가 1월 16일에서 1월 21일 사이 "5일 동안" Sitel 지원 엔지니어의 노트북에 대한 RDP 접근을 획득했다고 말했다.

엔비디아 (2022)

2022년 2월 23일, 기술 회사 엔비디아는 시스템 침해 사실을 인지했다. Lapsus$는 엔비디아로부터 1테라바이트의 데이터를 확보했다고 주장하며, 엔비디아가 장치 드라이버를 오픈 소스화하지 않으면 "RTX 3090Ti 및 향후 개정판을 포함한 모든 최신 엔비디아 GPU의 완전한 실리콘, 그래픽 및 컴퓨터 칩셋 파일"을 공개하겠다고 위협했다.[16][4] 2022년 3월 3일, 엔비디아의 71,000명 이상의 직원의 자격 증명이 온라인에 유출되었다.[17]

삼성그룹 (2022)

2022년 3월 4일, Lapsus$는 휴대폰 제조업체 삼성그룹의 내부 데이터에 대한 190GB 토렌트를 게시했는데, 여기에는 삼성 갤럭시 휴대폰 라인의 소스 코드가 포함되어 있었다. 삼성그룹은 3일 후 침해를 확인했다.[18]

메르카도리브레 (2022)

2022년 3월 8일, 아르헨티나 전자 상거래 회사 메르카도리브레는 Lapsus$가 30만 고객의 사용자 데이터에 접근했음을 확인했다. 이 그룹은 또한 메르카도리브레에 속한 24,000개의 저장소에 접근했다고 주장했다.[19]

유비소프트 (2022)

2022년 3월 10일, 게임 회사 유비소프트는 "사이버 보안 사고"를 경험했다고 확인했지만, 사용자 데이터는 접근되지 않았다.[20]

T-모바일 (2022)

2022년 3월 17일, Lapsus$는 통신 회사 T-모바일 내의 직원 계정에 접근했다. "White"라는 가명을 사용하는 Lapsus$의 저명한 멤버는 연방수사국미국 국방부의 T-모바일 계정에 접근하려고 시도했지만 실패했다. 그러나 Lapsus$는 T-모바일에 속한 소스 코드 저장소를 얻을 수 있었다.[21]

마이크로소프트 (2022)

2022년 3월 20일, Lapsus$는 기술 회사 마이크로소프트Azure 데브옵스 서버 스크린샷을 텔레그램 채널에 게시했다. 다음날, 그룹은 "Bing 검색 엔진의 소스 코드 90%"를 포함한 37GB의 압축 파일을 공개했다.[22][23][24][25]

글로반트 (2022)

2022년 3월 30일, 룩셈부르크 기반 IT 회사인 Globant는 자사 네트워크가 Lapsus$에 의해 침해되었음을 확인했다.[26]

우버 (2022)

2022년 9월 15일, 우버는 Lapsus$에 의해 침해되었다고 발표했다.[27]

록스타 게임스 (2022)

 그랜드 테프트 오토 VI § 유출 문서를 참고하십시오.

2022년 9월 18일, 그랜드 테프트 오토 VI와 관련된 90개의 게임 플레이 영상이 GTAForums에 유출되었다.[28] 이 해커는 Lapsus$와 연관되어 있었던 것으로 추정된다.[29] 2023년 12월 25일, 1년 전의 침해로 얻은 추가 콘텐츠가 유출된 것으로 보고되었는데, 여기에는 불리의 계획된 후속작 게임 파일, 파이썬 코드가 포함된 그랜드 테프트 오토 VI, 그리고 게임의 계획된 DLC 콘텐츠에 대한 힌트가 포함된 그랜드 테프트 오토 V의 전체 소스 코드가 포함되어 있었다.[30]

상호 작용

이 그룹은 메시징 앱인 텔레그램을 사용했으며, Lapsus$ 텔레그램 채널은 데이터 덤프를 알리고 공범을 모집하는 데 사용되었다. 2022년 3월 현재 약 50,000명의 구독자를 보유하고 있다.[8] 이 그룹은 다음 목표로 삼을 조직에 대한 투표를 게시하기도 했다.[31]

연방수사국은 2022년 3월 21일 정보 제공을 요청했다.[32]

구성

기소장에 따르면, 이 그룹의 주모자는 영국 옥스퍼드에 거주하는 16세의 아리온 쿠르타즈였으며, 다른 핵심 멤버는 브라질의 십대였다.[33][34][35] 블룸버그 보고서는 이 그룹이 7명의 멤버로 구성되어 있으며 최근에 결성되었을 가능성이 높다고 밝혔다.[36][33]

체포 및 유죄 판결

2022년 3월 24일, 16세에서 21세 사이의 7명이 Lapsus$에 대한 경찰 수사와 관련하여 시티오브런던 경찰에 체포되었다. "White"라는 가명을 사용하는 그룹의 주요 멤버인 아리온 쿠르타즈는 영국 옥스퍼드에서 체포되었다. 그의 신원은 이전에 전 동료에 의해 공개되었으며, 연구 그룹 Unit 221B를 포함한 여러 그룹이 그를 식별했다고 보고되었다.[37] 이 주요 멤버는 2022년 4월 1일에 17세와 함께 기소되었다.[38][34] 그는 정신과 의사들에 의해 재판을 받기에 부적합하다고 평가되었지만,[35] 7주간의 재판이 2023년 8월까지 진행되었고, 그 결과 17세 소년과 주요 멤버 모두 유죄 판결을 받았다.[11] 쿠르타즈는 정신 시설에 무기한 수용 명령을 받았다.[12]

2022년 10월 19일, Lapsus$ 멤버로 추정되는 브라질 시민이 페이라지산타나, 바이아주에서 경찰에 체포되었고, "오퍼레이션 다크 클라우드" 이후 브라질 보건부 공격 및 기타 사이버 범죄 혐의로 기소되었다. Lapsus$는 또한 경제부, 연방 감사원, 연방 고속도로 경찰을 포함한 브라질 연방 정부의 수십 개의 다른 조직 및 기관을 표적으로 삼았다.[39][40]

분석

이 그룹의 추정되는 modus operandi는 특권 있는 직원의 자격 증명을 획득하여 피해 조직의 기업 네트워크에 접근하는 것에 기반을 두었다. 이러한 자격 증명은 모집[41] 또는 SIM 스와핑과 같은 방법을 사용하여 특권 있는 직원을 해킹하는 등 여러 가지 방법으로 획득되었다.[8] Lapsus$는 그런 다음 원격 데스크톱 또는 네트워크 접근을 사용하여 고객 계정 정보나 소스 코드와 같은 민감한 데이터를 얻었다. 그룹은 그 다음 데이터를 공개하겠다고 위협하여 피해 조직을 공갈했다.[24] 주목할 만한 경우, 데이터는 그 후 공개되었고, 정보는 텔레그램에 게시되었다.

Lapsus$는 우버 해킹에서 사회공학 전술인 다단계 인증 피로 공격을 사용했다.[42][43][44]

Lapsus$가 사용한 방법은 2023년 중반 미국 사이버 세이프티 리뷰 보드(Cyber Safety Review Board)의 검토 대상이었다.[6]

각주

  1. “DEV-0537 criminal actor targeting organizations for data exfiltration and destruction”. 《Microsoft Security Blog》. 2022년 3월 22일. 2022년 3월 24일에 확인함. 
  2. “ShinyHunters Wage Broad Corporate Extortion Spree – Krebs on Security” (미국 영어). 2025년 10월 7일. 2025년 11월 3일에 확인함. 
  3. “Defending against attacks” (영어). 《Security Insider》. Microsoft Security. 2022년 8월 22일. 2022년 10월 8일에 확인함. 
  4. Goodin, Dan (2022년 3월 4일). “Cybercriminals who breached Nvidia issue one of the most unusual demands ever” (미국 영어). 《Ars Technica》. 2022년 3월 14일에 확인함. 
  5. Winder, Davey (2022년 3월 8일). “Samsung Confirms Massive Galaxy Hack After 190GB Data Torrent Shared Via Telegram” (영어). 《Forbes》. 2022년 3월 14일에 확인함. 
  6. “Review of the attacks associated with Lapsus$ and associated threat groups” (PDF). 《CISA.Gov》. US Government Cyber Safety Review Board. 2023년 8월 10일에 원본 문서 (PDF)에서 보존된 문서. 2023년 8월 11일에 확인함. 
  7. Goodin, Dan (2023년 11월 18일). “The FCC says new rules will curb SIM swapping. I'm pessimistic” (미국 영어). 《Ars Technica》. 2023년 11월 19일에 확인함. 
  8. Krebs, Brian (2022년 3월 23일). “A Closer Look at the LAPSUS$ Data Extortion Group”. 《Krebs On Security》. 2022년 3월 24일에 확인함. 
  9. “Brazil health ministry website hit by hackers, vaccination data targeted” (영어). 《Reuters》. 2021년 12월 11일. 2022년 3월 24일에 확인함. 
  10. Peters, Jay (2022년 3월 24일). “Seven teenagers arrested in connection with the Lapsus$ hacking group”. 
  11. “Lapsus$: Court finds teenagers carried out hacking spree”. 《BBC News》. 2023년 8월 23일. 2023년 8월 23일에 확인함. 
  12. “Lapsus$: GTA 6 hacker handed indefinite hospital order”. 《BBC News》. 2023년 12월 21일. 
  13. Mari, Angelica (2021년 12월 10일), “Brazilian Ministry of Health suffers cyberattack and COVID-19 vaccination data vanishes” (영어), 《ZDNET, 2023년 12월 27일에 확인함 
  14. Porter, Jon (2022년 3월 22일). “Okta hack puts thousands of businesses on high alert”. 《The Verge》. 2022년 3월 22일에 확인함. 
  15. Newman, Lily Hay (2022년 3월 28일). “Leaked Details of the Lapsus$ Hack Make Okta's Slow Response Look More Bizarre”. 《Wired》. 2022년 4월 1일에 확인함. 
  16. Clark, Mitchell (2022년 3월 1일). “Nvidia says its 'proprietary information' is being leaked by hackers” (영어). 《The Verge》. 
  17. Gatlan, Sergiu (2022년 3월 3일). “NVIDIA data breach exposed credentials of over 71,000 employees”. 《BleepingComputer》. 2022년 9월 21일에 확인함. 
  18. Glover, Claudia (2022년 3월 7일). “Is Lapsus$ targeting Big Tech after Samsung breach?”. 《Tech Monitor》. 2022년 3월 14일에 확인함. 
  19. Sharma, Ax. “E-commerce giant Mercado Libre confirms source code data breach” (미국 영어). 《BleepingComputer》. 2022년 3월 23일에 확인함. 
  20. Peters, Jay (2022년 3월 11일). “Ubisoft says it experienced a 'cyber security incident', and the purported Nvidia hackers are taking credit” (영어). 《The Verge》. 2022년 3월 14일에 확인함. 
  21. Krebs, Brian (2022년 4월 22일). “Leaked Chats Show LAPSUS$ Stole T-Mobile Source Code” (미국 영어). 《Krebs on Security》. 2022년 4월 22일에 확인함. 
  22. Cox, Joseph (2022년 3월 21일). “Microsoft Investigating Claim of Breach by Extortion Gang”. 《Motherboard》. Vice. 2022년 3월 21일에 확인함. 
  23. Clark, Mitchell; Lawler, Richard; Peters, Jay (2022년 3월 22일). “Microsoft confirms Lapsus$ hackers stole source code via 'limited' access”. 《The Verge》. Vox Media. 2022년 3월 22일에 확인함. 
  24. Abrams, Lawrence. “Lapsus$ hackers leak 37GB of Microsoft's alleged source code” (미국 영어). 《BleepingComputer》. 2022년 3월 23일에 확인함. 
  25. Newman, Lily Hay (2022년 3월 22일). 'This Is Really, Really Bad': Lapsus$ Gang Claims Okta Hack”. 《Wired》. 2022년 3월 23일에 확인함. 
  26. Goodin, Dan (2022년 3월 30일). “IT giant Globant discloses hack after Lapsus$ leaks 70GB of stolen data” (미국 영어). 《Ars Technica》. 2022년 3월 31일에 확인함. 
  27. “Uber says Lapsus$-linked hacker responsible for breach”. 《Reuters》. 2023년 9월 17일. 2023년 9월 17일에 확인함. 
  28. Kan, Michael (2022년 9월 20일). “Uber Blames Recent Breach on LAPSUS$ Hacking Group”. 《PCMag》. 지프 데이비스. 2022년 9월 19일에 원본 문서에서 보존된 문서. 2022년 9월 19일에 확인함. 
  29. Robinson, Andy (2022년 9월 19일). “Uber 'in contact with the FBI' over potential GTA 6 hacker”. 《Video Games Chronicle》. 게이머 네트워크. 2022년 9월 19일에 원본 문서에서 보존된 문서. 2022년 9월 20일에 확인함. 
  30. Armughanuddin, Md (2023년 12월 25일). “Rumor: GTA 5 Source Code and Other Rockstar Files Leak Online” (영어). 《Game Rant》. 2023년 12월 26일에 확인함. 
  31. Newman, Lily Hay (2022년 3월 15일). “The Lapsus$ Hacking Group Is Off to a Chaotic Start”. 《Wired》. 
  32. “Most Wanted: LAPSUS$”. 《www.fbi.gov》. 2022년 3월 21일. 2022년 4월 3일에 원본 문서에서 보존된 문서. 2022년 4월 5일에 확인함. 
  33. Turton, William; Robertson, Jordan (2022년 3월 23일). “Teen Suspected by Cyber Researchers of Being Lapsus$ Mastermind”. 《Bloomberg》. 2022년 3월 23일에 확인함. 
  34. “16-year-old living with his mom is mastermind behind Lapsus$ Microsoft hack, cyber detectives say” (영어). 《Fortune》. 2022년 8월 1일에 원본 문서에서 보존된 문서. 2022년 10월 8일에 확인함. 
  35. Tobin, Sam (2023년 7월 11일). “Teen hacked Uber, Revolut and Grand Theft Auto maker, London court hears” (영어). 《Reuters》. 2023년 7월 17일에 확인함. 
  36. Burt, Jeff (2022년 3월 17일). “Lapsus$ gang sends a worrying message to would-be criminals” (영어). 《www.theregister.com》. 
  37. “Lapsus$: Oxford teen accused of being multi-millionaire cyber-criminal”. 《BBC News》. 2022년 3월 24일. 2022년 3월 25일에 확인함. 
  38. “Lapsus$: Two UK teenagers charged with hacking for gang”. 《BBC News》. 2022년 4월 1일. 
  39. “PF prende brasileiro suspeito de integrar organização criminosa internacional” [Federal Police arrests Brazilian suspected of integrating international criminal organization] (브라질 포르투갈어), 《gov.br》, 2022년 10월 19일, 2023년 12월 27일에 확인함 
  40. Gatlan, Sergiu (2022년 10월 19일), “Brazil arrests suspect believed to be a Lapsus$ gang member” (미국 영어), 《BleepingComputer》, 2023년 12월 27일에 확인함 
  41. Paganini, Pierluigi (2022년 3월 11일). “Lapsus$ Ransomware Group is hiring, it announced recruitment of insiders”. 《Security Affairs》. 2022년 3월 23일에 확인함. 
  42. “MFA Fatigue: Hackers' new favorite tactic in high-profile breaches” (미국 영어). 《BleepingComputer》. 2022년 9월 20일에 확인함. 
  43. Whittaker, Zack (2022년 9월 19일). “How do you stop another Uber hack?” (미국 영어). 《TechCrunch》. 2022년 9월 20일에 확인함. 
  44. Goodin, Dan (2023년 8월 11일). “How fame-seeking teenagers hacked some of the world's biggest targets” (미국 영어). 《Ars Technica》. 2023년 8월 11일에 확인함. 

외부 링크

Content Disclaimer

Informasi ini disarikan dari Wikipedia dan disajikan kembali untuk tujuan edukasi. Konten tersedia di bawah lisensi CC BY-SA 3.0. Kami tidak bertanggung jawab atas ketidakakuratan data yang bersumber dari kontribusi publik tersebut.

  1. The information displayed on this website is sourced in part or in whole from Wikipedia and has been adapted for the purpose of restating it. We strive to provide accurate and relevant information, however:
  2. There is no guarantee of absolute accuracy. Wikipedia is an open, collaborative project that can be edited by anyone, so information is subject to change.
  3. It is not intended to constitute professional advice. The content displayed is for informational and educational purposes only. For important decisions (e.g., medical, legal, or financial), please consult a professional.
  4. Content copyright. Wikipedia is licensed under the Creative Commons Attribution-ShareAlike License (CC BY-SA). This means that content may be reused with appropriate attribution and shared under a similar license.
  5. Responsible use. Any risk arising from the use of information from this website is entirely the responsibility of the user.