Lapsus$: que sait-on de ce groupe qui serait apolitique et non affilié à un État ?

En raison de son caractère désorganisé, on penserait à tort que Lapsus$ est un groupe à prendre à la légère. Malgré son manque de professionnalisme, Lapsus$ est à prendre au sérieux autant que les APT et les groupes affiliés à des États. Les experts en cybersécurité lui prêtent des origines sud-américaines. Pourtant, de nombreux membres se trouvent à Londres, comme le démontrent les dernières arrestations. Ceci démontre son extension à l’international. Contrairement aux autres gangs de ransomware, Lapsus$ fournit peu d’efforts pour effacer ses traces. De plus, il n’hésite pas à divulguer les données volées ou à les détruire.

Le groupe de cybercriminels Lapsus$ attire l’attention pour la première fois en décembre 2021 suite à l’attaque du ministère brésilien de la Santé. Depuis, ils font la une des médias spécialisés et généralistes pour l’attaque d’entreprises comme Samsung, NVidia ou encore Vodafone.

Lapsus$ possède une chaîne Telegram qui compte près de 50 000 abonnés. Il y partage des codes sources, captures d’écran et autres informations sensibles sur ses cibles. C’est le cas par exemple de Microsoft qui l’a nommé « DEV-O537 ». Cette divulgation publique a incité l’équipe de Microsoft à renforcer sa sécurité et à traquer ces pirates.

Ainsi, d’après le rapport de Microsoft, Lapsus$ est loin d’être aussi organisé que les APT et autres gangs. En effet, il laisse des traces derrière eux sans précautions. Ce rapport indique également que Lapsus$ était à l’origine un voleur de comptes de crypto-monnaies. En peaufinant sa technique, le groupe s’est ensuite attaqué à des organisations gouvernementales et des universités.

Bien qu’il soit expert en extorsion, Lapsus$ n’est pas un groupe de hackers. Il réussit à pénétrer le serveur de ses cibles grâce au social engineering. Le groupe a même lancé une campagne de recrutement de complices en interne. Moyennant des frais, ce dernier donne ses identifiants aux pirates ou accepte l’installation d’un logiciel de gestion à distance.

Rappelons d’abord le contexte. Nous sommes en 2021 et la pandémie du Covid 19. Le programme de vaccination se trouve au cœur de la politique publique des gouvernements. En fin d’année 2021, le Ministère brésilien de la Santé déclare avoir été la cible d’une attaque informatique sur son site Internet. Les dégâts sont importants puisque les pirates ont réussi à paralyser les systèmes. Pourtant, l’un d’entre eux contenait des informations cruciales, à savoir les certificats de vaccination numériques de la population.

La police attribue rapidement cette attaque au groupe Lapsus$ qui a laissé un message sur le site de les contacter pour récupérer les données. Le message comprend des coordonnées Telegram et une adresse mail.

Okta est une entreprise dans le secteur de la technologie, spécialisée dans l’authentification. Elle détient ainsi des informations sur des centaines d’organisations dans le monde. Lapsus$ s’en prend à cette société stratégique en janvier 2022.

Les hackers du groupe ont réussi à s’introduire dans l’ordinateur portable d’un employé, leur permettant de pénétrer le serveur d’Okta. Bilan de l’attaque : 2,5 % des clients auraient été touchés. L’entreprise soutient néanmoins que son service reste opérationnel.

Pourtant, Lapsus$ se vante déjà de l’attaque sur sa chaîne Telegram. Le groupe affiche des captures d’écran des chaînes Slack d’Okta et son interface chez Cloudflare. La nouvelle a secoué le monde entier puisque des agences gouvernementales, universités et entreprises sont des clients d’Okta.

Si d’un côté, la cible tente de minimiser les dégâts pour ne pas effrayer ses clients, de l’autre Lapsus$ suscite la panique en indiquant détenir un accès administrateur aux systèmes d’Okta. Rappelons que cette dernière compte 15 000 clients à travers le monde, 2,5 % équivaut donc à 400, ce qui est déjà énorme.

La médiatisation de l’attaque permet à Lapsus$ de renforcer davantage sa notoriété parmi les cybercriminels.

Nous sommes en mars 2022, un groupe de cybercriminels encore méconnu du grand public divulgue des données du géant sud-coréens sur Internet. D’après Bleeping Computer, le volume des codes volés s’élève à 190 go au total. Ces codes sont liés au fonctionnement de ses produits phares : les smartphones Galaxy. On parle bien du code du système d’exploitation TrustZone des appareils Samsung.

Lapsus$ ne s’arrête pas là, le groupe annonce également avoir en sa possession le code du serveur d’activation de Samsung, les algorithmes de verrouillage biométrique et autres données importantes.

Samsung confirme finalement le piratage quelques jours plus tard dans une déclaration dans le journal Bloomberg. Le communiqué insiste néanmoins sur les dégâts mineurs de cette attaque, aucune information personnelle des utilisateurs n’a été dérobée.

Malgré cela, en s’attaquant à un géant comme Samsung, Lapsus$ attire l’attention, notamment celle des autorités.

L’année 2022 est décidément prolifique pour Lapsus$. En février 2022, c’est le géant américain des puces électroniques qui en fait les frais. Have I been Pwned, une plateforme qui notifie sur les violations de données, révèle que plus de 71 000 comptes ont été compromis. Ces identifiants appartiendraient aux employés de NVidia. Ce dernier confirme l’attaque le 1ᵉʳ mars.

L’incident a paralysé les serveurs de Nvidia pendant deux jours. Suite à cette déclaration, Lapsus$ a immédiatement revendiqué l’attaque en indiquant avoir volé 1 To de données. Pour le prouver, le gang d’extorsion a publié 20 Go de données.

La manne financière est la première motivation du groupe. Cette fois-ci, la suppression des limitations du taux de hachage léger figurent pourtant parmi ses revendications. Lapsus$ demande également à Nvidia de rendre les pilotes GPU open source.

Nvidia tente de temporiser en annonçant que le piratage ne perturbe en rien son service. L’entreprise indique également travailler avec les autorités pour démasquer les pirates.

L’enchaînement des attaques en 2021 et 2022 n’a pas échappé aux autorités. Dès mars 2022, la BBC rapporte l’arrestation de plusieurs membres du groupe de cybercriminels. Dans une déclaration, la police de Londres indique l’interpellation de sept personnes, étonnamment jeunes, entre 16 et 21 ans.

Quelques mois auparavant, des chercheurs en cybersécurité étaient déjà sur la piste de Lapsus$, au solde de plusieurs victimes du groupe. Leur enquête a abouti à l’identification d’un adolescent portant le pseudonyme « White » ou « Breachbase ». Cependant, ils n’ont pas réussi à trouver des liens probants reliant Lapsus$ à cet individu, indique le journal Bloomberg. L’adolescent en question vit en Angleterre, près de l’université d’Oxford.

De son côté, l’expert en cybersécurité Krebs relate dans un long article l’identité d’un autre adolescent. Celui-ci aurait acheté le site Doxbin. Ce site réunit des utilisateurs qui partagent impunément des informations personnelles sur d’autres personnes. Cependant, l’administrateur délaisse son site et expose tous les utilisateurs sur Telegram. En colère, ces derniers n’ont pas hésité à révéler l’identité de l’administrateur. Celui-ci serait la même personne que White ou Breachbase.

Présenté comme le cerveau de Lapsus$ par la BBC, cet adolescent serait un autiste qui avait à peine 17 ans au moment des faits. Ses actes lui ont permis de gagner près de 300 BTC, soit l’équivalent de 14 millions de dollars.

Cependant, la police de Londres n’a pas indiqué si cette personne faisait partie des sept personnes arrêtées.

D’autres recherches pointent vers une adolescente au Brésil d’après Bloomberg. Des chercheurs ont déjà émis l’hypothèse que Lapsus$ serait basé au Brésil. L’existence de cet autre suspect concorde avec cette hypothèse.