Ermittler werden in Oxford fündig

Steckt ein Teenager hinter Lapsus$-Angriffen?

Mit der Hackergruppe Lapsus$, die für Angriffe auf Microsoft, Okta, Nvidia und andere verantwortlich ist, bringen Ermittler einen 16-jährigen Hacker aus Oxford in Verbindung.
Von 
CSO | 24. März 2022 09:35 Uhr
Im schönen Oxford wird nicht nur studiert, sondern offenbar auch gehackt, wie Sicherheitsforscher herausfanden.
Im schönen Oxford wird nicht nur studiert, sondern offenbar auch gehackt, wie Sicherheitsforscher herausfanden.
Foto: FenlioQ - shutterstock.com

Bloomberg beruft sich auf Cybersecurity-Forscher, die die Hackerangriffen auf diverse Technologieunternehmen untersucht haben. Demnach hält eine Gruppe von vier dieser Experten einen 16-Jährigen aus England für einen der Drahtzieher. Allerdings konnten die Forscher dem Verdächtigten die Hacks noch nicht eindeutig nachweisen, heißt es. Sie hätten aber forensische Hinweise sowie öffentlich verfügbare Informationen, die nahelegten, dass der Teenager mit der Hackergruppe in Verbindung stehe.

Bloomberg nennt nicht den Namen des mutmaßlichen Hackers, der unter den Online-Pseudonymen "White" und "breachbase" auftritt, zumal er minderjährig ist und von den Strafverfolgungsbehörden noch nicht öffentlich beschuldigt wurde. Allerdings haben rivalisierende Hackergruppen dafür gesorgt, dass Name und Anschrift publiziert wurden.

So konnten die Reporter der Familie des Hackers in ihrem Reihenhaus am Stadtrand von Oxford einen Besuch abstatten. Dort äußerte sich die Mutter mit wenigen Sätzen über eine Gegensprechanlage und erklärte, durch die Veröffentlichung der Anschrift fühle sie sich bedroht.

Bei einem weiteren Mitglied der Lapsus$-Gang handelt es sich den Ermittlern zufolge vermutlich um einen Teenager mit Wohnsitz in Brasilien. Bloomberg beruft sich bei diesen Angaben auf eine Person, die sich näher mit den Hackern beschäftigt habe. Es seien sieben einzelne Konten identifiziert worden, die mit der Gruppe in Verbindung stünden. Also liege nahe, dass noch weitere Personen an den Operationen beteiligt waren.

Der Teenager hackt schneller als sein Schatten

Der Teenager aus Oxford soll so schnell und geschickt sein, dass die Forscher zunächst dachten, die beobachteten Aktivitäten liefen automatisiert ab, sagte eine Person, die an den Untersuchungen beteiligt war.

Lapsus$ hatte Unternehmen wie Microsoft verhöhnt, indem es unter anderem Quellcode der Bing-Suchmaschine und interne Dokumente veröffentlichte. Mit der Bekanntgabe, bei Okta eingedrungen zu sein, stürzte die Gang das Softwarehaus in eine mittlere PR-Krise. Die Hacker sollen sich in einigen Fällen sogar in die Zoom-Calls eingeschaltet haben, in denen die betroffenen Unternehmen das Krisenmanagement besprachen. Sie sollen dort die Mitarbeiter und Berater verspottet haben, die versuchten, den Hack zu bereinigen, zitiert Bloomberg drei mit der Angelegenheit vertraute Personen.

Microsoft räumte in einem Blogbeitrag ein, dass die Gruppe eine "groß angelegte Social-Engineering- und Erpressungskampagne gegen mehrere Unternehmen" gestartet habe. Die Hacker gingen so vor, dass sie Unternehmen angriffen, ihre Daten entwendeten und dann Lösegeld dafür verlangten, diese Daten nicht zu veröffentlichen. Microsoft verfolgt Lapsus$ unter dem Codenamen "DEV-0537". Die Gruppe soll Insider in den betroffenen Unternehmen rekrutiert haben, die bei den Hacks behilflich sind.

Lapsus$ verwischt kaum Spuren - man will den (zweifelhaften) Ruhm

Anders als die meisten Hackergruppen scheine DEV-0537 seine Spuren nicht zu verwischen, schreibt Microsoft. Die Angreifer gingen sogar so weit, ihre nächsten Schritte in den sozialen Medien anzukündigen oder öffentlich Insider anzuwerben, um Zugangsdaten von Zielorganisationen zu kaufen. DEV-0537 soll sich laut Microsoft nicht mehr mit Angriffen auf Organisationen in Großbritannien und Südamerika begnügen, sondern globale Ziele anpeilen - darunter Regierungsbehörden und Unternehmen aus den Bereichen Technologie, Telekommunikation, Medien, Einzelhandel und Gesundheitswesen.

Lapsus$ behauptet auch, in die Systeme von Samsung, Vodafone und Ubisoft eingedrungen zu sein. Die Breaches bei Microsoft und Nvidia wies das Unternehmen nach, indem es gestohlenen Quellcode und Informationen in seinem Telegram-Kanal veröffentlichte. Nach dem Hack von Okta deutete die Gruppe an, erst einmal eine Auszeit nehmen und sich von größten Unternehmen der Welt fern halten zu wollen. "Ein paar unserer Mitglieder haben Urlaub bis zum 30. März 2022. Wir werden uns vielleicht für einige Zeit zurückhalten", schrieben die Hacker auf Telegram, um sogleich wieder in die Offensive zu gehen: "Danke, dass ihr uns versteht. Wir werden versuchen, so bald wie möglich neues Zeug zu leaken."

Heinrich Vaske ist Editorial Director von COMPUTERWOCHE, CIO und CSO sowie Chefredakteur der europäischen B2B-Marken von IDG. Er kümmert sich um die inhaltliche Ausrichtung der Medienmarken - im Web und in den Print-Titeln.