LAPSUS$, ook wel bekend als DEV-0537, is een hackersgroep die vanuit Zuid-Amerikaanse landen cyberaanvallen uitvoert. Aanvankelijk richtten de leden van de groep zich op doelwitten in het Verenigd Koninkrijk en Latijns-Amerika. De afgelopen weken zijn verschillende internationale techbedrijven aangevallen door het hackerscollectief. Dan moet je denken aan onder meer NVIDIA, Samsung en Microsoft.
Een ander bedrijf dat onlangs getroffen is door LAPSUS$, is Okta. Het bedrijf ontwikkelt authenticatiesoftware voor klanten van over de hele wereld. Onder meer Amazon en Apple zijn klant bij Okta. Om hun beweringen kracht bij te zetten, plaatsten de aanvallers schermafbeeldingen op hun Telegram-account. Even later erkende Okta via een persbericht dat LAPSUS$ inderdaad het bedrijf had aangevallen. Naar eigen zeggen wisten de daders gegevens te stelen van 2,5 procent van Okta’s klanten.
Hoe de hackers erin slaagden om het netwerk van Okta te infiltreren, is nooit bekend gemaakt, tot vandaag. Cybersecurityexpert Bill Demirkapi weet hoe de hackersgroep het bedrijfsnetwerk wist binnen te dringen. Om het uit te leggen heeft hij een tijdlijn opgesteld.
Een belangrijke datum die we daar aantreffen, is vrijdag 21 januari. Die dag wisten de hackers in te breken op het interne netwerk van Sitel. Sitel is een bedrijf dat de klantenservice voor Okta verzorgt. Eenmaal binnen gebruikten de aanvallers hacking tools om zich een weg te banen door het netwerk van Sitel. Zodoende vonden de daders een document genaamd ‘DomAdmins-LastPass.xlsx’. Volgens TechCrunch is dat een exportdocument van een LastPass-gebruiker die bij Sitel werkt.
Vijf uur later wist LAPSUS$ het bedrijfsnetwerk van Okta binnen te dringen. Dit gebeurde via een Virtual Private Network of VPN dat via Sykes was opgezet, het moederbedrijf van Sitel. Om ervoor te zorgen dat ze volledig werden buitengesloten, maakten de hackers een backdoor aan op het netwerk van Sykes.
Het is niet honderd procent zeker dat de aanvallers de wachtwoorden op de spreadsheet gebruikten, komt het wel overeen met de tijdlijn die Demirkapi heeft gemaakt. TechCrunch heeft om een reactie gevraagd bij Okta, maar kreeg geen gehoor.
Afgelopen week arresteerde de Britse politie verschillende jongeren in de leeftijd van 16 tot en met 21 jaar. Eén van hen was een 16-jarige tiener die nog bij zijn ouders woonde. Volgens persbureau Bloomberg was hij het brein achter de cyberaanvallen.
