Microsoft Diretas, Kode Sumber Bing dan Cortana Dicuri Hacker Lapsus$

Lapsus$ mengeklaim telah menyebarkan source code software beberapa produk perusahaan software raksasa itu, seperti Bing, Cortana, dan projek lain yang dicuri hacker dari server internal Azure DevOps.

Source code atau kode sumber merupakan istilah komputer, yakni kumpulan instruksi bahasa pemrograman yang biasa berbentuk teks untuk memberi perintah kerja komputer.

Upaya peretasan yang dilakukan Lapsus$ pertama kali diketahui melalui sebuah postingan yang diunggah di Telegram pada Minggu (20/3/2022) dan Senin (21/3/2022).

Lapsus$ mengunggah sebuah torrent yang diklaim berisi 90 persen source code Bing dan 45 persen lainnya memuat kode untuk layanan Bing Maps dan asisten virtual Cortana.

Upaya peretasan yang dilakukan Lapsus$ disebut-sebut hanya mengakibatkan bocornya sejumlah source code milik Microsoft. Namun nyatanya, kebocoran tersebut telah mengekspos 37 GB repositori source code internal Azure DevOps, server milik Microsoft.

Akibat insiden ini, sejumlah data seperti e-mail serta beberapa dokumentasi internal Microsoft untuk menerbitkan aplikasi berbasis mobile bocor ke publik.

Data-data tersebut nampaknya akan digunakan Microsoft pada infrastruktur berbasis web, situs web, atau aplikasi mobile.

Tidak ada tanda-tanda kebocoran source code untuk software berbasis desktop Microsoft seperti Windows, Windows Server, dan Microsoft Office.

Tanggapan Microsoft

Microsoft sendiri membenarkan insiden ini dan mengaku tengah berupaya untuk melakukan penyelidikan lebih lanjut.

Dalam sebuah pernyataan tertulis di blog resmi, Microsoft menyampaikan beberapa metode yang dilakukan Lapsus$ untuk bisa mendapatkan akses awal ke sistem perusahaan.

Grup hacker yang diberi kode nama DEV-0537 oleh Microsoft ini diklaim menyebarkan kode pencuri password "Redline" untuk bisa mendapatkan kata sandi dan session token korban. Kode "Redline" didapatkan dari sebuah forum kriminal.

Selanjutnya, Lapsus$ juga membayar orang dalam perusahaan target, seperti pemasok atau mitra bisnis Microsoft, untuk bisa mendapatkan akses ke file kredensial dan persetujuan multi-factor authentification (MFA).

Lapsus$ kemudian akan mencari repositori source code publik pada file kredensial yang sudah terekspos.

Data kredensial dan/atau session tokens yang terlah didapatkan akan digunakan kelompok hacker ini untuk mengakses sistem dan aplikasi yang terhubung ke internet.

Adapun sistem yang dimaksud mencakup virtual private network (VPN), remote desktop protocol (RDP), Virtual Desktop Infrastructure (VDI) termasuk Citrix, atau identitas penyedia seperti Azure Active Directory dan Okta.

Untuk organisasi yang menggunakan keamanan MFA, Lapsus$ menggunakan dua teknik utama untuk memenuhi persyaratan MFA.

Mereka menggunakan session token replay dan kata sandi yang dicuri untuk memicu persetujuan MFA.

Dalam beberapa kasus, Lapsus$ akan terlebih dahulu menargetkan akun pribadi individu sehingga dapat memberikan akses untuk mencari kredensial tambahan yang bisa digunakan untuk mendapatkan akses ke sistem perusahaan.

Tidak jarang, grup tersebut juga akan menggunakan akses nomor telepon individu yang ditargetkan untuk mengatur ulang kata sandi dan menyelesaikan tindakan pemulihan akun.

Sementara untuk bisa meraih akses dari orang dalam perusahaan, Lapsus$ kerap kali merekrut target secara diam-diam dengan iming-iming mendapatkan sejumlah komisi.

Apabila setuju, karyawan tersebut diwajibkan untuk memberikan informasi pribadi mereka dan menyetujui permintaan MFA yang diajukan Lapsus$.

Kemudian, grup hacker tersebut akan memanfaatkan akses keamanan dan hubungan bisnis yang dimiliki perusahaan korban dengan penyedia layanan dan pihak supply chain terkait.

Taktik lain yang dapat dilakukan Lapsus$ adalah dengan melakukan metode SIM swap (pertukaran SIM) untuk mengakses nomor telepon pengguna sebelum masuk ke jaringan perusahaan.

Metode ini memungkinkan hacker untuk dapat menangani permintaan otentikasi menggunakan nomor telepon yang dibutuhkan untuk mendapatkan akses ke target.

Setelah file kredensial atau akses pengguna diperoleh, Lapsus$ biasanya akan segera menghubungkan sistem ke VPN perusahaan korban.

Untuk memenuhi persyaratan akses bersyarat, Lapsus$ terkadang juga akan mendaftarkan atau bergabung dengan sistem ke Azure Active Directory (AAD) organisasi.

Kerap bobol sistem keamanan perusahaan

Lapsus$ sendiri dikenal sebagai komplotan hacker yang kerap berupaya untuk membobol sistem keamanan perusahaan untuk mencuri kode sumber, daftar pelanggan, database, dan data berharga lainnya.

Setelah berhasil memperoleh akses ke data-data tersebut, Lapsus$ kemudian berusaha memeras korban dengan meminta uang tebusan hingga miliaran dolar AS.

Dalam beberapa bulan terakhir, Lapsus$ terlihat aktif melakukan berbagai serangan siber ke beberapa perusahaan teknologi terkenal seperti Nvidia, Samsung, Vodafone, Ubisoft, dan Mercado Libre.

Sejauh ini, sebagian besar serangan Lapsus$ menargetkan struktur penyimpatanan source code korban. Setelah mendapatkan akses ke file tersebut, Lapsus$ dapat mencuri berbagai data sensitif.

Pada sebuah kasus, Lapsus$ berhasil meraih akses ke data teknologi lite hash rate (LHR) milik Nvidia. Data yang bersifat rahasia ini kerap digunakan Nvidia untuk mengurangi kapasitas GPU saat melakukan aktivitas penambangan.