Il governo degli Stati Uniti ha pubblicato un rapporto dopo aver analizzato tecniche semplici utilizzate dal gruppo di estorsione LAPSUS$ per violare dozzine di organizzazioni con una solida posizione di sicurezza. Il Cyber Safety Review Board (CSRB) del Department of Homeland Security (DHS) ha finalizzato la sua analisi e descrive le tattiche e le tecniche del gruppo in un rapporto che include anche raccomandazioni per il settore.
Il gruppo ha utilizzato lo scambio di SIM per ottenere l’accesso alla rete interna di un’azienda target e rubare informazioni riservate come codice sorgente, dettagli sulla tecnologia proprietaria o documenti aziendali e relativi ai clienti. Negli anni LAPSUS$ è stata al centro dell’attenzione per aver colpito numerose multinazionali di stampo tecnologico, tra cui NVIDIA, Microsoft e Samsung.
In un attacco di scambio di SIM, l’autore della minaccia ruba il numero di telefono della vittima trasferendolo su una scheda SIM di proprietà dell’attaccante. Il trucco si basa sull’ingegneria sociale o su un insider dell’operatore di telefonia mobile della vittima. Con il controllo del numero di telefono della vittima, l’attaccante può ricevere codici OTP basati su SMS per l’autenticazione a due fattori (2FA) necessari per accedere a vari servizi aziendali o violare le reti.
Parlando di LAPSUS$, alcuni degli scambi fraudolenti di SIM sono stati eseguiti direttamente dagli strumenti di gestione dei clienti del fornitore di telecomunicazioni dopo aver violato account appartenenti a dipendenti e appaltatori. Per ottenere informazioni riservate sulla loro vittima (nome, numero di telefono, informazioni sulla rete proprietaria del cliente), i membri del gruppo a volte utilizzavano richieste di divulgazione di emergenza fraudolente (EDR). Un utente malintenzionato può creare un falso EDR impersonando un richiedente legittimo, ad esempio un agente delle forze dell’ordine, o applicando loghi ufficiali alla richiesta.
LAPSUS$ ha anche fatto affidamento su addetti ai lavori presso aziende, dipendenti o appaltatori mirati per ottenere credenziali, approvare richieste di autenticazione a più fattori (MFA) o utilizzare l’accesso interno per aiutare l’autore della minaccia. In un caso, LAPSUS$ ha utilizzato il proprio accesso non autorizzato a un fornitore di servizi di telecomunicazioni per tentare di compromettere gli account di telefonia mobile collegati al personale dell’FBI e del Dipartimento della Difesa.
Ci sono stati però molti casi in cui LAPSUS$ non è riuscita nei suoi intenti, soprattutto se in gioco c’era l’autenticazione a più fattori (MFA) o robusti sistemi di rilevamento delle intrusioni di rete e la segnalazione di attività sospette. In ogni caso, sarebbe necessario rafforzare la sicurezza di operazioni piuttosto delicate come il SIM Swapping, magari richiedendo una forte verifica dell’identità utente, oltre a migliorare il controllo di eventuali attività sospette. Altro passo avanti da fare è cercare di spostarsi verso un approccio passwordless tramite le passkey, già utilizzate da aziende come Microsoft, Google e PayPal.