Jedna z nejslavnějších a nejnebezpečnějších hackerských skupin světa, která například společnosti Rockstar Games ukradla data ohledně chystaného hitu GTA 6, během svého nekončícího tažení využila také infrastrukturu v České republice.
Uskupení vystupující pod názvem Lapsus$ si zaregistrovalo doménu lapsus.cz, která už sice není aktivní, ale díky triku používaném v hackerském podsvětí funguje dál. Skrze tento web si lze stáhnout ukradená data včetně interních dat firem Lacoste a Adidas nebo francouzského ministerstva zemědělství.
K webu a ukradeným datům se lze dostat prostřednictvím služby Internet Archive (archive.org). Jde o neziskovou službu, která průběžně zálohuje webové stránky, díky čemuž se lze dostat i k obsahu, který už na “běžném internetu” není v provozu. Primárním důvodem je zachování historie a informací. Web lapsus.cz je tak zakonzervován v čase a přes archive.org nadále dostupný.
Kybernetičtí kriminálníci tuto metodu používají ve svém arzenálu. Internet Archive v podstatě může sloužit jako taková “digitální pračka špinavého obsahu”. Například firemní firewally často archive.org považují za důvěryhodnou doménu, takže se k nebezpečným doménám a webům lze dostat i přes zabezpečení.
Útočníci jsou tímto způsobem schopní vytvořit web se škodlivým kódem nebo ukradeným obsahem a nechat ho zaindexovat pomocí archive.org. I když je původní web smazán, případně doména zablokována, škodlivý obsah žije dál. Navíc zdarma a s omezenými možnostmi smazání. Internet Archive je totiž nezisková nezávislá organizace.
Nic neobvyklého
Lapsus$ si českou doménu zaregistrovali 27. února letošního roku. Kopie na Internet Archivu byla vytvořena velice rychle, takzvaný snapshot byl proveden prvního března v poledne. Držitelem domény je zřejmě fiktivní firma CornBallCorp se sídlem ve Švýcarsku. Registrátorem je německá společnost Key-Systems spadající pod skupinu Team Internet. Name servery jsou za Cloudflarem.
Stránka skupiny Lapsus$ s českou doménou na Internet Archive
Lapsus$ nepřekvapivě musí řešit neustálé vypínání domén a webů. “Skupina si neustále stěžuje na narušování infrastruktury, takže spouštění nových domén není nic neobvyklého,” popsal Lupě Sergey Shykevich, manažer Threat Intelligence Group v kyberbezpečnostní společnosti Check Point.
Lapsus$ například letos prvního března na Telegramu napsali, že jejich infrastruktura byla opět vyřazena z provozu, takže bude pár dnů trvat, než zprovozní nové stránky. Čtvrtého března byla spuštěna nová doména lapsus.by (běloruská doména), která je v době psaní článku stále v provozu. Na tuto stránku byl zkopírován obsah a postupně je rozšiřována. K dispozici jsou třeba data podniku AstraZeneca, jde o zdrojové kódy, API klíče nebo databázi zaměstnanců.
Zpráva skupiny Lapsus$ na Telegramu informující o české doméně
“Pokud by se znovu vyskytly nějaké problémy, vše se přemístí na další doménu. Česká doména tak byla součástí neustálého boje skupiny Lapsus$ s rušením domén a zakládáním nových, funkčních variant,” doplnil Shykevich s tím, že provoz lapsus.cz neměl souvislost se zaměřením hackerů na Česko.
Mezi cíle patří Microsoft, Nvidia nebo Samsung
Lapsus$ vykazuje pozoruhodnou životnost. Začátky mezinárodní skupiny se datují do roku 2021. Hned v prosinci na sebe upozornila útokem na brazilské ministerstvo zdravotnictví. Následoval výčet velmi zvučných jmen. Hackeři například získali terabajt dat ze společnosti Nvidia, včetně schémat čipů a zdrojových kódů pro ovladače. Ze Samsungu získali 190 GB informací, mimo jiné zdrojové kódy pro biometrické odemykání telefonů. Dalším cílem byl Microsoft, zcizeny byly části zdrojáků pro Bing. Lapsus$ napadli i firmu Okta zajišťující autentizační služby. Dále šlo třeba o již zmiňovaný Rockstar nebo Uber.
Stížnost skupiny Lapsus$ na Telegramu, že zase musí řešit přesun infrastruktury
Lapsus$ se tolik nesoustředí na vývoj a nasazení pokročilých virů, ale spíše na sociální inženýrství. Skupina typicky umí převzít kontrolu nad telefonními čísly zaměstnanců, díky čemuž lze obejít dvoufázové ověření skrze SMS kódy. Členové skupiny se dále soustředí na bombardování zaměstnanců zprávami, dokud dotyčný neklikne na infikovaný odkaz. Lapsus$ také nabízí úplatky zaměstnancům (na Telegramu byly nabídky pro lidi z Applu nebo Microsoftu) za poskytnutí přístupů k VPN a podobně. Běžně se také nakupují ukradená hesla a identity na darknetu.
Skupina Lapsus$ je dlouhodobě dost hlasitá. Zase tak moc si nepotrpí na tradiční metody ransomware (používá je ale také), kdy se zašifrují data a za dešifrování je požadováno výpalné. Lapsus$ prostě data ukradne a vyhrožuje, že je zveřejní. Jednou z hlavních motivací těchto hackerů je zábava (lulz) a sláva, nikoliv nutně zbohatnout.
Nenapravitelný teenager
Dnes jsou nejvíce vidět organizované skupiny podpořené určitými státy. Evropská unie například před pár dny uvalila sankce na firmy a osoby napojené na čínský stát, které získaly data z českého ministerstva zahraničí. Lapsus$ autority překvapil, o žádné vysoké státní hry totiž nešlo.
V roce 2022 došlo k zatčení sedmi lidí, bylo jim mezi 16 a 21 lety. Hlavou celé operace byl šestnáctiletý Arion Kurtaj (přezdívky White či Breachbase) žijící v Oxfordu v Anglii. Kurtaj trpí autismem, neprojevuje žádnou lítost a sebereflexi a zřejmě bude doživotně v léčebném zařízení. I v detenci pokračoval v hackování, během zadržení v hotelovém pokoji mu stačil Amazon Fire Stick připojený k televizi.
Lapsus$ i po zatýkání žijí dál a všelijak se transformují. Například na podzim roku 2025 byla zformována aliance více skupin, která kromě Lapsus$u zahrnuje organizace jako Scattered Spider (útoky na MGM, Visu, Twilio a další) a ShinyHunters (napadení Microsoftu či Pixlr).
“Lapsus$ je velmi aktivní na Telegramu, kde má desítky tisíc sledujících a kde oznamuje své operace a úspěchy. Občas dokonce zdarma zveřejní některá data, nebo vytváří interaktivní ankety, kdo by měl být dalším cílem. Lapsus$ tvrdí, že jejich motivace k útokům je čistě finanční, ale to nemusí být vždy pravda. Skupina je aktivní také na dark webu, kde vyhledává různé insidery v technologických společnostech, kteří by za finanční odměnu pomohli s realizací útoku,” shrnul Shykevich.
“Na konci února se Lapsus$ pochlubil fanouškům novým úspěšným útokem na evropského lídra ve stavebnictví a oznámil zveřejnění interní databáze, včetně administrátorských a uživatelských e-mailů, jmen, hesel a důvěrných údajů. A to vše zdarma, jako poděkování fanouškům, kteří tak mohli získat informace pro vlastní cílené kybernetické útoky. Mohla to být i reakce na razii u jednoho ze členů skupiny,” doplnil odborník Check Pointu.
Lapsus$ za sebou zanechali silnou zprávu, že se i do velmi citlivých a zabezpečených firem a úřadů lze dostat pomocí drzosti, manipulace a přesvědčování lidí. Platí zde známé pořekadlo, že člověk je nejslabší část řetězce zabezpečení. “Miliardy utracené za kybernetickou bezpečnost. Přesto jsme se do vašeho systému dostali. Možná se zeptejte svého CISO, kam se poděl rozpočet,” píší Lapsus$ v jednom ze svých prohlášení.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU