微软调查后承认遭到黑客组织DEV-0537/LAPSUS的入侵但影响不大

昨天南美黑客组织LAPSUS发布消息称已经渗透微软内部开发环境 ,  同时窃取部分产品线的源代码转储日志。

受影响的产品线主要是微软必应搜索、必应地图和微软小娜，解压后的数据包体积为13GB 但潜在价值不高。

当时就有安全研究人员猜测，估计是微软已经发现攻击行为并加以防护，否则黑客应该会继续潜伏盗取数据。

微软最新发布的安全博文确认这点，在黑客公布数据前该公司已检测到相关威胁，具体来说有员工账号被盗。

微软威胁情报中心、微软检测和响应小组、 Microsoft 365 Defender 威胁情报团队联合发布最新调查报告。

微软将该黑客组织称为DEV-0537，该黑客组织以纯粹的勒索和破坏为目的 ,  而不是喜欢部署加密勒索软件。

而且和多数黑客组织不同的是，这个黑客组织非常高调并且不屑于隐藏踪迹，其他黑客组织通常会严格保密。

比如DEV-0537在社交媒体上公开发布消息称希望购买大型企业的内部账号 ,  他们愿意为这些账号提供报酬。

实际上也就是寻找企业内鬼提供权限账号进行渗透，当然这只是个途径，因为他们还通过其他方式进行攻击。

包括但不限于社工手段、换卡攻击、从公开存储库里搜寻凭证、部署恶意软件窃取目标企业员工的账号密码。

若成功入侵目标内部网络，则DEV-0537同时会搜寻内部服务器未修复的软件漏洞 ,  以此来提升他们的权限。

微软安全团队在博文结尾也承认该公司确实遭到这个黑客组织的入侵，至于泄露的数据不含客户代码和数据。

微软表示在黑客组织公布数据前该公司已经检测到威胁，调查发现有账号被盗并且还被授予有限的访问权限。

当安全团队发现威胁后立即解决该威胁，随后这个黑客组织在其社交媒体上宣布入侵微软并公布源代码数据。

蓝点网检查发现微软泄露的数据有13GB 左右，主要都是各种Web端的源代码、提交数据和大量转储日志类。

这些数据对微软来说确实没有太大影响，如果前段开发者们愿意的话，倒是可以参观下微软工程师们的代码。

微软表示该公司不依赖于通过保护源代码来确保安全，所以这些源代码和数据泄露不会对微软造成任何影响。

根据微软调查这个黑客组织最喜欢使用密码，无论是入侵内部服务器还是远程桌面亦或者域控靠的都是密码。

因此只要确保密码足够安全那就可以进行防御，怎么才能保证密码足够安全和不会泄露呢？那就是不用密码。

微软建议企业为员工账号配置 Windows Hello 无密码身份验证，配置无密码后登录通过生物识别完成认证。

支持的包括指纹识别、面部识别、虹膜识别，如果没有这些硬件支持的话 , 还能使用 Windows PIN 码认证。

另外企业应该配置多因素认证，这样即便员工密码泄露也黑客也无法登录，多因素认证建议所有用户都配置。

还有个需要注意的是配置多因素认证后将短信验证关闭，因为这个黑客组织也喜欢使用换卡攻击来重置账户。

所谓换卡攻击指的是利用伪造的身份证明联系运营商更换SIM卡，换卡后用户手机号码就会被黑客直接接管。