Dlaczego hackowanie aplikacji webowych jest proste? Zapisz się na darmowe szkolenie od sekuraka.

Advanced Persistent Teenager (APT) w akcji. LAPSUS$ skompromitował również organy ścigania

05 kwietnia 2022, 11:23 | W biegu | 0 komentarzy

Bloomberg i Dailymail oraz Brian Krebs donoszą, że ~nastolatkowie z grupy Infinity Recursion, w skład której mieli wchodzić członkowie grupy LAPSUS$, która skompromitowała m.in. firmy Okta, Microsoft i Nvidia, skompromitowali również organy ścigania.

Lider grupy, ps. Everlynn, podówczas 14-latek z Wielkiej Brytanii, w kwietniu 2021 r. na forum cracked.to (obecnie cracked.io) oferował za odpłatnością od 100 do 250 dolarów usługę pozyskiwania danych od m.in. największych portali społecznościowych w trybie i zakresie zarezerwowanym dla organów ścigania. 

Ilustracja 1. Ogłoszenie z Cracked.TO (ke-la.com za krebsonsecurity.com).

Zapytania miały być wysyłane w imieniu argentyńskich organów ścigania z wcześniej skompromitowanej skrzynki mailowej. Jak cytuje Brian Krebs, Everlynn reklamował swoje usługi w następujący sposób:

  • Chciałbym sprzedać [dostęp] do rządowego e-maila, który może być wykorzystany do wezwania wielu firm, takich jak Apple, Uber, Instagram itp.”, 

Dodając:

  • Możesz włamać się [na konta] użytkowników i uzyskać prywatne zdjęcia od ludzi na SnapChat, takie jak nagie [zdjęcia], zhakować swoją dziewczynę lub [zrobić] coś podobnego. Nie dostaniesz loginu do konta, ale w zasadzie uzyskasz wszystko [co jest] na koncie, jeśli dobrze rozegrasz swoje karty. Nie jestem prawnie odpowiedzialny za niewłaściwe postępowanie. Jest to bardzo nielegalne i będziesz ścigany, jeśli nie użyjesz VPN. Możesz także włamać się do  systemów rządowych i znaleźć DUŻO bardziej poufnych danych i sprzedać je za dużo, dużo więcej [pieniędzy].

Bloomberg podaje, że na fałszywe wnioski odpowiedziały m.in. Apple oraz Meta (Facebook), udostępniając dane takie jak adres e-mail użytkownika, numer telefonu oraz IP. Snap Inc. (Snapshot) również otrzymał fałszywy wniosek, ale nie wiadomo, czy dane zostały udostępnione.

Według dawnego kolegi Everlynna, w nielegalny sposób dane miały być z powodzeniem pozyskane również od Discorda. Potwierdził to sam Discord, oświadczając Bloombergowi:

  • Chociaż nasz proces weryfikacji potwierdził, że samo konto organów ścigania jest prawidłowe, później dowiedzieliśmy się, że zostało skompromitowane. Od tego czasu przeprowadziliśmy dochodzenie w sprawie tej nielegalnej działalności i powiadomiliśmy organy ścigania o przejętym koncie e-mail.

Nastolatek za podszywanie się pod organy ścigania i wysyłanie w ich imieniu fałszywych wniosków miał zostać zatrzymany pod koniec 2021 r., po czym został wypuszczony i wrócił do tej samej nielegalnej aktywności.

EDR (Emergency Data Request)

Atakujący wykorzystał procedurę przewidzianą dla organów ścigania, które w sprawach wymagających natychmiastowej reakcji mogą kontaktować się z portalami, takimi jak Facebook, uzyskując informacje z pominięciem długotrwałej ścieżki prawnej. 

W strukturach podmiotów, które świadczą usługi w Internecie, często tworzone są dedykowane zespoły LER (Law Enforcement Request), które zajmują się obsługą wniosków kierowanych przez organy ścigania. Niekiedy składanie wniosków możliwe jest przez dedykowane portale (systemy).

Ilustracja 2. Strona Facebooka do składania wniosków przez organy ścigania (sekurak).

Ilustracja 3.  Strona Google do składania wniosków przez organy ścigania (sekurak).

W przypadku Google, szczególną kategorię obejmują Diplomatic legal requests, które według Google obejmują prośby o informacje o użytkownikach, które [Google może] zidentyfikować, jako wysłane w ramach procedur dyplomatycznych. Obejmują one na przykład wnioski od rządu jednego kraju do drugiego w ramach traktatu o wzajemnej pomocy prawnej.

Na 718 wniosków złożonych w latach 2019-2020, 63 złożone zostały przez polskie instytucje.

Ilustracja 4. Liczba wniosków w kategorii Diplomatic legal requests skierowanych do Google przez polskie organy ścigania (sekurak).

Niektóre firmy, w tym Microsoft, udostępniają dane statystyczne dotyczące obsługi wniosków składanych przez organy ścigania. Wnioski takie mogą dotyczyć danych transakcyjnych (adresów IP, połączeń itp.) oraz zawartości korespondencji. Ujawnienie zawartości korespondencji nastąpić może wyłącznie na podstawie postanowienia sądowego i liczba takich spraw jest bardzo mała, a wnioski często są odrzucane. Nie wszystkie z tych wniosków są obsługiwane. Według danych za ostatni dostępny okres (I poł. 2021), Microsoft odrzucił ponad 40% wniosków składanych przez polskie organy ścigania. Dane statystyczne przedstawiają się następująco:

Ilustracja 5. Wnioski od polskich organów ścigania obsłużone przez Microsoft (sekurak).

Dane dla Niemiec:

Ilustracja 6. Wnioski od niemieckich organów ścigania obsłużone przez Microsoft (sekurak).

Dane dla Wielkiej Brytanii:

Ilustracja 7. Wnioski od brytyjskich organów ścigania obsłużone przez Microsoft (sekurak).

Dane statystyczne dotyczące wniosków kierowanych przez instytucje można znaleźć na stronach ich adresatów:

Co i od kogo można pozyskać?

Informacja o zakresie danych możliwych do pozyskania z poszczególnych komunikatorów przez FBI została ujawniona w listopadzie 2021 r., kiedy organizacja Property of the People uzyskała dokument w amerykańskim odpowiedniku polskiego dostępu do informacji publicznej:

Ilustracja 8. Zakres danych możliwych do pozyskania z poszczególnych komunikatorów (FBI za Property of the People).

~anna@sekurak.pl

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz