Am Dienstag behauptete die südamerikanische Hackergruppe Lapsus$, mehrere erfolgreiche Angriffe unternommen zu haben, etwa auf den Azure-Devops-Server von Microsoft und den IT-Dienstleister Okta. Dazu passend postete sie heikle Screenshots, etwa von unternehmensinternen Chats und diversen Quellcodes, in einer Telegram-Gruppe. Mittlerweile haben sowohl Microsoft als auch Okta die Angriffe bestätigt. Okta musste zudem eingestehen, dass auch Kundendaten betroffen sind.

Zugriffs-Missmanagement

"Nach einer gründlichen Analyse dieser Behauptungen sind wir zu dem Schluss gekommen, dass ein kleiner Prozentsatz von Kunden – etwa 2,5 Prozent – potenziell betroffen ist und deren Daten möglicherweise eingesehen oder bearbeitet wurden", wird Oktas Sicherheitschef David Bradbury auf der Okta-Website zitiert. Die Kunden seien über den Diebstahl informiert worden.

Das US-Unternehmen ist auf Identitäts- und Zugriffsmanagement spezialisiert, das es Mitarbeiterinnen ermöglicht, relativ sicher auf unternehmensinterne Netzwerke zuzugreifen. Eine bekannte Variante ist die Multi-Faktor-Authentifizierung (MFA), die mittlerweile bei vielen Websites und Apps eingesetzt wird. Durch einen Admin-Zugang verschafften sich die Hacker dennoch Zugriff und stahlen offenbar Kundendaten von verschiedenen Unternehmen.

Laut Okta-CEO Todd McKinnon, der sich am Dienstag auch auf Twitter zu dem Vorfall äußerte, hat der Angriff bereits im Jänner stattgefunden. "Ende Jänner 2022" habe Okta die "versuchte Kompromittierung eines Accounts eines Drittanbieters" beobachtet, schrieb McKinnon. Die Angelegenheit sei jedoch "untersucht und eingedämmt" worden. Laut Reuters sind 366 Kunden des Unternehmens betroffen. Diese Anzahl halte Okta jedoch für ein "Worst-Case-Szenario", schreibt Reuters.

Dem Statement hat die Hackergruppe mittlerweile in einer Telegram-Gruppe widersprochen. Man sei in der Lage, sämtliche Passwörter und MFAs zurückzusetzen, was zu einer "kompletten Kompromittierung" zahlreicher Client-Systeme sorgen würde. Die potenziellen Auswirkungen auf Okta-Kunden seien "nicht limitiert".

Blaues Auge

Microsoft scheint im Vergleich dazu glimpflich davongekommen zu sein. Bei dem Angriff auf den US-Konzern wurden laut offizieller Stellungnahme keine Kundendaten gestohlen, sondern ausschließlich Quellcode von diversen Microsoft-Projekten. Laut "Bleepingcomputer" wurden diese Daten, immerhin rund 37 Gigabyte, bereits veröffentlicht. Der Konzern schreibt jedoch in einer Stellungnahme, dass die "Einsicht in den Quellcode" nicht zu einem "erhöhten Risiko" führe.

Lapsus$

Die Hackergruppe Lapsus$ ist zwar erst seit wenigen Monaten aktiv, hat jedoch mit mehreren erfolgreichen Angriffen auf Firmen wie Nvidia oder Samsung auf sich aufmerksam gemacht. Meist drohte man nach dem Diebstahl mit der Veröffentlichung der Daten, was auch immer wieder in die Tat umgesetzt wurde.

Bisher wusste man wenig über die Gruppe, doch ein aktueller Bericht von Bloomberg scheint jetzt einen 16-Jährigen ausgemacht zu haben, der hinter Lapsus$ stecken soll. Offenbar lebt der Engländer bei seiner Mutter in Oxford, ein weiteres Mitglied soll ein ähnlich junger Mann aus Brasilien sein. Die Informationen dazu erhielt Bloomberg offenbar von anderen Hackergruppen, die die persönlichen Daten des britischen Teenagers veröffentlicht hatten. Eine offizielle Bestätigung von Sicherheitsbehörden, dass es sich bei den beiden tatsächlich um die Köpfe von Lapsus$ handelt, fehlt weiterhin. (red, 24.3.2022)