แลปซัส$

แลปซัส$
	โลโก้ปี 2024
การก่อตัว	2021
ผู้ก่อตั้ง	อาริออน เคอร์ทาจ และ คริป
พิมพ์	กลุ่มแฮกเกอร์อาชญากรรมไซเบอร์
วิธีการ	การหลอกลวงแบบสเปียร์ฟิชชิ่ง , การสลับซิม , การชักชวนผู้ร่วมกระทำความผิดผ่านโซเชียลมีเดีย, การกรรโชกทรัพย์ , การแฮ็ก
สมาชิก	7 (ประมาณการเดือนมีนาคม 2022)
ภาษาทางการ	ภาษาอังกฤษ
องค์กรแม่	นักล่าไชน์นี่
สังกัด	ShinyHunters , Scattered Spider , Scattered Lapsus$ Hunters

Lapsus$ซึ่งเขียนด้วยตัวพิมพ์ใหญ่ทั้งหมดเป็นLAPSUS$และจัดประเภทโดยMicrosoftว่าเป็นStrawberry Tempest ^{[ 1 ]}และเมื่อไม่นานมานี้ถูกระบุว่าเป็น (หรือเป็นส่วนหนึ่งของ) ShinyHunters [ ²^]เป็น กลุ่มแฮกเกอร์ หมวกดำ ระดับนานาชาติ ที่มุ่งเน้นการกรรโชกทรัพย์^[³^]ซึ่งเป็นที่รู้จักจากการโจมตีทางไซเบอร์ต่างๆ^ต่อบริษัทและหน่วยงานรัฐบาล^[⁴^]^[⁵^]กลุ่มนี้เคลื่อนไหวอยู่ในหลายประเทศ และมีสมาชิกถูกจับกุมในบราซิลและสหราชอาณาจักรในปี 2022 ^[⁶^]ตามรายงานของตำรวจนครลอนดอนสมาชิกอย่างน้อยสองคนเป็นวัยรุ่น

Lapsus$ ใช้เวกเตอร์การโจมตีที่หลากหลาย รวมถึงการวิศวกรรมสังคม ความเหนื่อยล้าจาก MFAการสลับซิม [ 7 ^{]และการ}กำหนดเป้าหมายซัพพลายเออร์ เมื่อกลุ่มได้รับข้อมูลประจำตัวของพนักงานที่มีสิทธิ์พิเศษภายในองค์กรเป้าหมายแล้ว กลุ่มจะพยายามรับข้อมูลที่ละเอียดอ่อนผ่านวิธีการต่างๆ รวมถึงการใช้ เครื่องมือ เดสก์ท็อประยะไกล จาก นั้น จึงพยายามกรรโชกทรัพย์ ในขั้นต้น แอปส่งข้อความTelegramถูกใช้สำหรับการสื่อสารกับสาธารณะ รวมถึงการสรรหาและการโพสต์ข้อมูลที่ละเอียดอ่อนจากเหยื่อ^{[ 8 ]}

การโจมตีทางไซเบอร์ครั้งใหญ่ครั้งแรกที่ถูกกล่าวหาว่าเป็นฝีมือของ Lapsus$ คือการโจมตีระบบคอมพิวเตอร์ของกระทรวงสาธารณสุขของบราซิล ในเดือนธันวาคม 2021 ^{[ 9 ]} Lapsus$ มีชื่อเสียงจากการโจมตีทางไซเบอร์หลายครั้งต่อบริษัทเทคโนโลยีขนาดใหญ่ รวมถึงMicrosoft , NvidiaและSamsungหลังจากการโจมตีเหล่านี้ตำรวจนครลอนดอนได้ประกาศว่าได้ทำการจับกุมผู้ต้องสงสัย 7 รายที่เกี่ยวข้องกับการสืบสวนของตำรวจเกี่ยวกับ Lapsus$ ^{[ 10 ]}แม้ว่ากลุ่มนี้จะถูกพิจารณาว่าไม่เคลื่อนไหวแล้วในเดือนเมษายน 2022 แต่เชื่อว่ากลุ่มนี้ได้กลับมาปรากฏตัวอีกครั้งในเดือนกันยายน 2022 ด้วยการละเมิดข้อมูลหลายครั้งต่อบริษัทขนาดใหญ่ต่างๆ โดยใช้เวกเตอร์การโจมตีที่คล้ายคลึงกัน รวมถึงUberและRockstar Gamesและมีการจับกุมอีกครั้งโดยตำรวจนครลอนดอนและตำรวจบราซิล^{[ 6 ]}

ดูเหมือนว่ากลุ่มนี้จะหยุดกิจกรรมไปหลังจากเดือนกันยายน พ.ศ. 2565 โดยสมาชิกอาจแยกย้ายกันไปอยู่กลุ่มอื่น^{[ 6 ]}และสมาชิกชาวอังกฤษสองคนถูกตัดสิน ว่ามีความผิด ^{[ 11 ]}อาริออน เคอร์ทาจ หนึ่งในสมาชิกผู้ก่อตั้งกลุ่ม ได้รับคำสั่งให้อยู่ในสถานพยาบาลจิตเวชที่ มีความปลอดภัยอย่างไม่มีกำหนด ^{[ 12 ]}

กลุ่ม อาชญากรไซเบอร์หลายกลุ่มรวมถึง Lapsus$, Scattered SpiderและShinyHuntersได้รวมตัวกันในปี 2025 ซึ่งได้สร้าง ช่อง Telegram อย่างน้อย 16 ช่องนับตั้งแต่วันที่ 8 สิงหาคม 2025 ^{[ 13 ]}

การโจมตี

กระทรวงสาธารณสุขของบราซิล (2021)

การโจมตีทางไซเบอร์ครั้งแรกที่ทราบกันดีว่ากระทำโดย Lapsus$ คือการโจมตีกระทรวงสาธารณสุข ของบราซิล เว็บไซต์ของกระทรวงสาธารณสุขถูกปิดลงในวันศุกร์ที่ 10 ธันวาคม เวลาประมาณ 1 นาฬิกา Lapsus$ ได้ทิ้งข้อความว่า "ติดต่อเราหากคุณต้องการข้อมูลของคุณคืน" พร้อมกับที่อยู่อีเมล Telegram และอีเมลของพวกเขาไว้บนหน้าแรกของเว็บไซต์กระทรวง^{[ 9 ]}หลังจากที่ขโมยและลบข้อมูล 50 TB บนเซิร์ฟเวอร์ภายใน ในช่วงบ่ายวันศุกร์ ข้อความดังกล่าวถูกลบออกไปแล้ว แต่เว็บไซต์และข้อมูลผู้ใช้ในแอป "ConecteSUS" ซึ่งให้บริการใบรับรองการฉีดวัคซีนโควิดแก่ชาวบราซิลยังคงไม่สามารถใช้งานได้ ทำให้เกิดความไม่สะดวกสำหรับนักเดินทาง^{[ 14 ]}

อ็อกตา (2022)

เมื่อวันที่ 21 มกราคม 2022 Lapsus$ ได้เข้าถึงเซิร์ฟเวอร์ของบริษัทจัดการข้อมูลประจำตัวและการเข้าถึงOktaผ่านบัญชีที่ถูกบุกรุกของวิศวกรฝ่ายสนับสนุนลูกค้าบุคคลที่สาม Okta ยืนยันการละเมิดเมื่อวันที่ 25 มกราคม 2022 ^{[ 15 ]}^{[ 16 ]}จากรายงานการตรวจสอบขั้นสุดท้าย David Bradbury หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยของ Okta กล่าวว่าการโจมตีส่งผลกระทบต่อลูกค้าที่ใช้งานอยู่เพียงสองรายเท่านั้น Okta เริ่มตรวจสอบข้อกล่าวหาเรื่องการแฮ็กหลังจากที่ Lapsus$ แชร์ภาพหน้าจอในช่อง Telegram ซึ่งบ่งชี้ว่าพวกเขาได้บุกรุกเครือข่ายลูกค้าของ Okta ในเบื้องต้น Okta กล่าวว่าแฮ็กเกอร์ Lapsus$ ได้รับสิทธิ์การเข้าถึง Remote Desktop ( RDP ) ไปยังแล็ปท็อปของวิศวกรฝ่ายสนับสนุน Sitel ในช่วง " ระยะเวลาห้าวัน " ระหว่างวันที่ 16 มกราคมถึง 21 มกราคม

เอ็นดีวี (2022)

เมื่อวันที่ 23 กุมภาพันธ์ 2022 บริษัทเทคโนโลยีNvidiaได้รับทราบถึงการละเมิดระบบของตน Lapsus$ อ้างว่ามีข้อมูลขนาด 1 เทราไบต์จาก Nvidia และขู่ว่าจะปล่อย "ไฟล์ซิลิคอน กราฟิก และชิปเซ็ตคอมพิวเตอร์ทั้งหมดสำหรับ GPU NVIDIA รุ่นล่าสุดทั้งหมด รวมถึง RTX 3090Ti และรุ่นปรับปรุงที่จะมาถึง" หาก Nvidia ไม่เปิดเผยไดรเวอร์อุปกรณ์เป็นโอ เพนซอร์ส ^{[ 17 ]}^{[ 4 ]}เมื่อวันที่ 3 มีนาคม 2022 ข้อมูลประจำตัวของพนักงาน Nvidia กว่า 71,000 คนได้ปรากฏบนอินเทอร์เน็ต^{[ 18 ]}

ซัมซุง (2022)

เมื่อวันที่ 4 มีนาคม 2022 Lapsus$ ได้โพสต์torrent ขนาด 195 GB ไปยังข้อมูลภายในของบริษัทผู้ผลิตโทรศัพท์Samsungซึ่งรวมถึงซอร์สโค้ดของ โทรศัพท์ตระกูล Samsung Galaxyด้วย Samsung ยืนยันการละเมิดดังกล่าวในอีกสามวันต่อมา^{[ 19 ]}

ตลาดเสรี (2022)

เมื่อวันที่ 8 มีนาคม 2022 บริษัทอีคอมเมิร์ซMercado Libre ของอาร์เจนตินา ยืนยันว่า Lapsus$ สามารถเข้าถึงข้อมูลผู้ใช้ของลูกค้า 300,000 รายได้ นอกจากนี้กลุ่มดังกล่าวยังอ้างว่าสามารถเข้าถึงคลังข้อมูล 24,000 แห่ง ที่เป็นของ Mercado Libre ได้ อีกด้วย ^{[ 20 ]}

ยูบิซอฟต์ (2022)

เมื่อวันที่ 10 มีนาคม 2022 บริษัทเกมUbisoftยืนยันว่าได้ประสบกับ "เหตุการณ์ด้านความปลอดภัยทางไซเบอร์" แม้ว่าจะไม่มีการเข้าถึงข้อมูลผู้ใช้ก็ตาม^{[ 21 ]}

ที-โมบายล์ (2022)

เมื่อวันที่ 17 มีนาคม 2022 Lapsus$ ได้เข้าถึงบัญชีพนักงานภายในบริษัทโทรคมนาคมT-Mobileสมาชิกคนสำคัญของ Lapsus$ ที่ใช้นามแฝงว่า "White" พยายามเข้าถึงบัญชี T-Mobile ของสำนักงานสอบสวนกลางและกระทรวงกลาโหมของสหรัฐอเมริกา แต่ไม่สำเร็จ อย่างไรก็ตาม Lapsus$ สามารถเข้าถึงคลังเก็บซอร์สโค้ดของ T-Mobile ได้^{[ 22 ]}

ไมโครซอฟต์ (2022)

เมื่อวันที่ 20 มีนาคม 2022 Lapsus$ ได้โพสต์ภาพหน้าจอของเซิร์ฟเวอร์Azure DevOpsของ บริษัทเทคโนโลยี Microsoft ลงในช่อง Telegram ของพวกเขา ในวันถัดมา กลุ่มดังกล่าวได้ปล่อยไฟล์ zip ขนาด 37 GB ซึ่งมีเนื้อหารวมถึง "90% ของซอร์สโค้ดสำหรับ เครื่องมือค้นหา Bing " ^[²³^]^[²⁴^]^[²⁵^]^[²⁶^]

โกลแบนท์ (2022)

เมื่อวันที่ 30 มีนาคม 2022 บริษัทไอทีGlobant ซึ่งตั้งอยู่ใน ลักเซมเบิร์กได้ยืนยันว่าเครือข่ายของตนถูกโจมตีโดย Lapsus$ ^[²⁷^]

อูเบอร์ (2022)

เมื่อวันที่ 15 กันยายน 2022 Uberประกาศว่าถูก Lapsus$ โจมตี^{[ 28 ]}

ร็อคสตาร์เกมส์ (2022)

เมื่อวันที่ 18 กันยายน 2022 มีวิดีโอเกมGrand Theft Auto VI จำนวน 90 คลิป ปรากฏบนGTAForums ^{[ 29 ]}เชื่อกันว่าแฮ็กเกอร์มีความเกี่ยวข้องกับ Lapsus$ ^{[ 30 ]}เมื่อวันที่ 25 ธันวาคม 2023 มีรายงานว่าเนื้อหาเพิ่มเติมที่ได้จากการละเมิดเมื่อปีก่อนได้รั่วไหลออกมา ซึ่งรวมถึงไฟล์เกมสำหรับภาคต่อของBullyที่ วางแผนไว้ โค้ด PythonสำหรับGrand Theft Auto VIและซอร์สโค้ด ทั้งหมด ของGrand Theft Auto Vซึ่งมีคำใบ้เกี่ยวกับDLC ที่วางแผนไว้ สำหรับเกม^{[ 31 ]}

ปฏิสัมพันธ์

กลุ่มดังกล่าวใช้แอปส่งข้อความTelegramและช่อง Telegram ของ Lapsus$ ถูกใช้เพื่อประกาศการเผยแพร่ข้อมูลและรับสมัครผู้ร่วมงาน ณ เดือนมีนาคม 2022 มีผู้ติดตามเกือบ 50,000 คน^{[ 8 ]}กลุ่มดังกล่าวได้โพสต์โพลสำรวจว่ากลุ่มควรตั้งเป้าหมายไปที่องค์กรใดต่อไป^{[ 32 ]}

FBI ได้ออกคำร้องขอข้อมูลเมื่อวันที่ 21 มีนาคม พ.ศ. 2565 ^{[ 33 ]}

องค์ประกอบ

ตามคำฟ้อง หัวหน้ากลุ่มคือ Arion Kurtaj เด็กชายอายุ 16 ปีที่อาศัยอยู่ในเมืองอ็อกซ์ฟอร์ดประเทศอังกฤษ โดยมีสมาชิกหลักอีกคนเป็นวัยรุ่นในประเทศบราซิล^{[ 34 ]}^{[ 35 ]}^{[ 36 ]}รายงานของ Bloombergระบุว่ากลุ่มนี้มีสมาชิก 7 คนและน่าจะก่อตั้งขึ้นเมื่อไม่นานมานี้^{[ 37 ]}^{[ 34 ]}

การจับกุมและการตัดสินลงโทษ

เมื่อวันที่ 24 มีนาคม 2022 ตำรวจนครลอนดอนได้จับกุมบุคคล 7 คน อายุระหว่าง 16 ถึง 21 ปีที่เกี่ยวข้องกับการสืบสวนของตำรวจเกี่ยวกับกลุ่ม Lapsus$ อาริออน เคอร์ทาจ สมาชิกคนสำคัญของกลุ่มซึ่งใช้นามแฝงว่าไวท์ถูกจับกุมในเมืองอ็อกซ์ฟอร์ด ประเทศอังกฤษ มีรายงานว่าตัวตนของเขาถูกเปิดเผย ก่อนหน้านี้ โดยอดีตผู้ร่วมงาน และมีรายงานว่ากลุ่มต่างๆ รวมถึงกลุ่มวิจัยUnit 221Bได้ระบุตัวเขา^{[ 38 ]}สมาชิกคนสำคัญถูกตั้งข้อหาร่วมกับเด็กอายุ 17 ปี เมื่อวันที่ 1 เมษายน 2022 ^{[ 39 ]}^{[ 35 ]}จิตแพทย์ประเมินว่าเขาไม่เหมาะสมที่จะขึ้นศาล^{[ 36 ]}แต่คดีในศาลดำเนินไปเป็นเวลา 7 สัปดาห์จนถึงเดือนสิงหาคม 2023 และส่งผลให้ทั้งเด็กอายุ 17 ปีและสมาชิกคนสำคัญถูกตัดสินว่ามีความผิด^{[ 11 ]}เคอร์ทาจได้รับคำสั่งให้อยู่ในสถานพยาบาลจิตเวชที่ มีความปลอดภัยอย่างไม่มีกำหนด ^{[ 12 ]}

เมื่อวันที่ 19 ตุลาคม 2022 พลเมืองชาวบราซิลที่เชื่อว่าเป็นสมาชิกของ Lapsus$ ถูกตำรวจจับกุมในเมืองเฟรา เด ซานตานารัฐบาเฮียและต่อมาถูกกล่าวหาว่าโจมตีกระทรวงสาธารณสุขของบราซิลและก่ออาชญากรรมทางไซเบอร์อื่นๆ หลังปฏิบัติการ "Operation Dark Cloud" Lapsus$ ยังกำหนดเป้าหมายไปยังองค์กรและหน่วยงานอื่นๆ อีกหลายสิบแห่งจากรัฐบาลกลางของบราซิล รวมถึงกระทรวงเศรษฐกิจ สำนักงานผู้ตรวจการแผ่นดินแห่งสหภาพ และตำรวจทางหลวงแห่งสหพันธรัฐ^{[ 40 ]}^{[ 41 ]}

การวิเคราะห์

วิธีปฏิบัติที่สันนิษฐานของกลุ่มนี้ขึ้นอยู่กับการเข้าถึงเครือข่ายองค์กรของเหยื่อโดยการได้มาซึ่งข้อมูลประจำตัวจากพนักงานที่มีสิทธิ์พิเศษ ข้อมูลประจำตัวเหล่านี้ได้มาในหลายวิธี รวมถึงการสรรหา^{[ 42 ]}หรือการแฮ็กพนักงานที่มีสิทธิ์พิเศษโดยใช้วิธีการต่างๆ เช่นการสลับซิม [ ^{8 ] จาก}นั้น Lapsus$ จะใช้ การเข้าถึง เดสก์ท็อประยะไกลหรือเครือข่ายเพื่อรับข้อมูลที่ละเอียดอ่อน เช่น รายละเอียดบัญชีลูกค้าหรือซอร์สโค้ด จากนั้นกลุ่มนี้จะข่มขู่องค์กรเหยื่อด้วยการขู่ว่าจะเปิดเผยข้อมูล^{[ 25 ]}ในกรณีที่เห็นได้ชัด ข้อมูลจะถูกเผยแพร่ในภายหลัง และมีการโพสต์ข้อมูลบน Telegram

Lapsus$ ได้ใช้ กลยุทธ์ วิศวกรรมสังคมที่เรียกว่าการโจมตีความเหนื่อยล้าจากการตรวจสอบสิทธิ์แบบหลายปัจจัยในการแฮ็ก Uber ^{[ 43 ]}^{[ 44 ]}^{[ 45 ]}

วิธีการที่ Lapsus$ ใช้เป็นหัวข้อของการตรวจสอบโดยคณะกรรมการตรวจสอบความปลอดภัยทางไซเบอร์ ของสหรัฐอเมริกา ในช่วงกลางปี 2023 ^{[ 6 ]}

ลิงก์ภายนอก

DEV-0537 - Krebs ด้านความปลอดภัย

[ 1 ]

2

[

[

[

[

]และการ

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[ 20 ]

[ 21 ]

[ 22 ]

[

[

[

[

[

[ 28 ]

[ 29 ]

[ 30 ]

[ 31 ]

[ 32 ]

[ 33 ]

[ 34 ]

[ 35 ]

[ 37 ]

[ 38 ]

[ 39 ]

[ 40 ]

[ 41 ]

[ 42 ]

[ 43 ]

[ 44 ]

[ 45 ]