年僅16歲 ，入侵微軟等18家跨國巨頭，LAPSUS$ 黑客組織“狠瘋狂”

2021 年年末，黑客世界橫空殺出一支隊伍，入侵巴西衛生部成功”出道”，此后短短四個月內，瘋狂開展網絡攻擊活動，英偉達、三星、沃達豐，育碧、微軟等十八家行業巨頭相繼淪陷。一時間，人人自危，LAPSUS$ 一躍成為 2022 年最猖狂、最令人聞風喪膽的黑客組織。

直到英國警方宣布逮捕了七名青少年成員，LAPSUS$ 黑客組織的神秘面紗才終于揭開。

短短幾月，連破“十八城”

2022 年 3 月是 LAPSUS$ 黑客組織最癲狂的一段時間，先是小試牛刀輕松攻破英偉達網絡安全防線，又馬不停蹄竊取三星 190 GB 數據，之后更是“連斬”育碧、微軟和 OKTA 等十幾家行業巨頭，徹底奠定了其在黑客圈的地位。

首戰芯片巨頭英偉達，小試牛刀

自 2021 年 12 月入侵巴西衛生部，LAPSUS$ 短暫沉寂一段時間，幾個月后，突然黑進英偉達內部網絡系統，逼得芯片巨頭被迫宣布遭到了嚴重網絡攻擊，部分系統癱瘓。正當業界普遍討論哪個老派黑客組織會站出來為此負責時，LAPSUS$ 火速宣稱對攻擊事件負責，表示從英偉達竊取了 1 TB 的數據，其中包括所有英偉達員工的在線憑證，并發布了英偉達驅動程序源代碼。

此次網絡攻擊事件中出現了非常戲劇化一幕，意識到遭受網絡攻擊后，英偉達曾試圖通過加密被盜數據反入侵 LAPSUS$ 的服務器，終歸是 LAPSUS$ 技高一籌，在虛擬機環境中提前復制了一份數據，英偉達的反擊措施并沒有奏效。

正當所有人都感覺攻擊事件結束時，Lapsus$ 提出一項新要求，英偉達必須在美國時間 3 月 4 日 結束前，完全開源 Windows、macOS、Linux 系統的 GPU 驅動，否則就把機密數據公之于眾。

次戰三星電子，韓國巨頭泄露大量數據

積累了攻擊英偉達成功經驗，豐富武器庫后，LAPSUS$ 變得更加肆無忌憚，將下一個攻擊目標指向了三星電子。

2022 年 3 月上旬，LAPSUS$ 突然將矛頭對準韓國三星電子，快速突破其外部網絡防御后，竊取 190GB 數據信息，其中可能包含 TrustZone 環境中安裝程序源代碼、生物特征解鎖操作的算法、最新三星設備的引導加載程序源代碼、高通的機密源代碼等在內的三星電子核心技術。

隨后，LAPSUS$ 將竊取的數據拆分成三個壓縮文件，在其泄密平臺開通對外下載渠道，并表示會部署更多服務器，以方便更多人下載。

面對媒體鋪天蓋地的宣傳，三星電子最終發布聲明證實了數據泄露事件，但一再否認數據泄漏會影響客戶或員工，僅僅涉及一些 Galaxy 設備操作相關的源代碼。

微軟淪陷，LAPSUS$ 惡名遠播

連續突破幾個知名企業網絡安全防線，LAPSUS$ 的野心再也無法阻擋。微軟作為行業領頭羊，財大氣粗，一直是黑客組織眼里的“香餑餑”，攻破微軟，名利雙收，LAPSUS$ 又豈能放過這個潛在獵物。

2022 年 3 月 20 日，LAPSUS$ 黑客組織利用微軟內部一名員工獲得對源碼存儲庫有限訪問權限后，迅速進入內部網絡，成功竊取了 Azure DevOps 服務器 37GB 數據，并公布了一張源代碼存儲庫的截圖。次日，發布了一份包含微軟 250 多個項目源代碼的壓縮包文件。

這個未壓縮的存檔文件大約 37GB。Lapsus$ 表示其包含了 90% 的 Bing 源代碼，大約 45%的 Bing Maps 和 Cortana 代碼。更糟糕的是，LAPSUS$ 還公布了盜取的數據，據悉這些源代碼主要適用于各種 Bing、Contana 和 Bing 地圖等 Microsoft 內部項目。

針對攻擊事件，微軟方面發現入侵行為后，安全專家根據被入侵賬戶，迅速做出應對，干擾攻擊者進一步操作，試圖阻止事態進一步擴大。最后，微軟表示黑客是如何成功入侵員工賬戶，暫時不能定論。

LAPSUS$ 像打了雞血一般，不知疲倦進行網絡攻擊，從巴西衛生部到英偉達，從三星到微軟，LAPSUS$ 已成為近些年作案頻率最高的黑客組織。在這些事件之前，加上巴西郵政局、電信運營商 Claro、南美最大汽車租賃公司 Localiza、國際電信巨頭沃達豐、巴西電子商務巨頭 Submarino、Americanas 等十數個組織機構成了 LAPSUS$ 的刀下亡魂。

LAPSUS$ 成員被捕，主謀疑似青少年

LAPSUS$ 的瘋狂行為未能延續多久就遇到了危機。隨著部分成員被捕，年輕的 LAPSUS$ 也揭開了神秘面紗。

2022 年 3 月下旬，倫敦警方宣布逮捕了 7 名青少年，他們涉嫌與曾入侵三星、英偉達、育碧和微軟等知名企業的 LAPSUS$ 組織有關。

據警方透露，七名青少年中，一名患有自閉癥的十六歲青年被指控是 LAPSUS$ 黑客組織主謀之一。自閉癥少年使用名為 White”、“Breachbase”的 ID 名稱縱橫網絡江湖，之所以被捕，除了猖狂以外（不掩飾自己的網絡蹤跡），可能是與內部人員發生了矛盾。隨后，馬甲“White”在一家黑客網站被曝光，未知黑客泄露了其姓名、地址和社交媒體照片等詳細資料信息，并透露他通過黑客活動獲取了約 1400 萬美元。

對于少年被捕一事，其父親一時難以接受，一再向警察表示，雖然孩子平時會花很多時間玩電腦，但從未在家里談論過黑客活動，家人還一直以為他玩游戲，中間還阻止使用電腦。

自閉癥少年落網很難避免，從 Unit 221B 首席研究員埃里森·尼克松透露的信息來看，安全研究人員已經追蹤“White”近一年時間，其資料在黑客網站曝光之前就已掌握了具體姓名、住址等信息。經過詳細分析將其與 LAPSUS$ 和其他黑客活動聯系在一起后，開始與信息安全公司 Palo Alto 合作，監視網絡活動，定期向司法部門匯報。最終，根據這些線索倫敦警方實施了抓捕行動。

“常在河邊走，哪有不濕鞋”，犯案累累的 LAPSUS$ 最終被捕并不意外，但組織成員如此年輕，還是難免引起對黑客趨于年輕化的討論。隨著網絡技術在社會運作中扮演角色加重，許多家長開始在兒童時期培養孩子的編程能力，在接觸了大量知識后，部分少年產生濃厚興趣，致力于研究網絡技術，長此以往，黑客逐漸年輕化不足為怪。

不同于其它黑客組織專挑”軟柿子”捏，LAPSUS$ 鎖定的攻擊目標都是國際知名企業，這些企業會設置嚴密防護手段，如何攻破復雜的網絡安全防線成為了業界關心的問題。

起底 LAPSUS$ 慣用的攻擊手段

工欲善其事，必先利其器，DDoS 攻擊、注入攻擊、暴力破解攻擊和網絡釣魚等是黑客組織慣用攻擊方式。LAPSUS$ 能夠在短短幾個月內，接連打穿十幾家知名企業的網絡安全防御體系，必定有其獨特的攻擊手法。

微軟在科技行業稱霸已久，豈能忍受被 LAPSUS$ 當眾打臉的屈辱，遭受網絡攻擊后，迅速成立聯合專家組，開展全面調查分析，最終揭露了該黑客組織可能使用的幾種攻擊手法。

常規操作：部署惡意軟件 Redline，竊取目標企業員工登陸憑證

與其它黑客組織類似，LAPSUS$ 慣用伎倆同樣是嘗試安裝惡意軟件，竊取目標用戶數據信息，其作案過程中，在數個目標企業員工辦公設備中安裝了 RedLine 惡意軟件，一旦得手，可輕松訪問用戶的郵箱、銀行賬戶等敏感信息。（RedLine 是一款黑客常用的勒索軟件，能夠從基于 Gecko 和 Chromium 的 Web 瀏覽器中收集用戶登陸憑證、cookie 等詳細數據。）

善用資源：拉網式排查公共代碼存儲庫中的用戶憑證信息

LAPSUS$ 能夠短時間突破多家知名企業離不開善用公共資源，利用公共代碼存儲庫中已泄露的登錄憑證或會話令牌，訪問了大量暴露在互聯網中的網絡系統。

值得一提的是，為應對部分企業使用了 MFA 安全防護，LAPSUS$ 使用會話令牌重放攻擊和被盜密碼觸發MFA 簡單的許可提示兩種技術，逃避目標企業發現攻擊活動；

金錢開道：直接賄賂目標企業員工

為輕松突破目標企業安全防御體系， LAPSUS$ 絞盡腦汁提出一種創新型方法，針對目標企業，在論壇或者社交軟件 Telegram 上，用各國語言廣發“英雄貼”，試圖招募目標企業員工獻出其內部登錄憑證。不僅如此，更是要求內鬼在公司設備上安裝 anydesk 等遠程管理軟件；

暗網市場：從暗網等地下犯罪論壇購買密碼和會話令牌

LAPSUS$ 在暗網市場搜尋潛在目標的憑證或者入侵點（漏洞），之后利用目標用戶 JIRA、Gitlab 和Confluence 等可訪問的服務器未修補漏洞，開展攻擊活動。

現階段，暗網市場早已形成規模，潛在網絡攻擊者可以在網絡黑市上獲取其它黑客組織竊取的數據信息，這種方式也是黑客組織常用的手段之一；

偷梁換柱：賄賂運營商員工更換 SIM卡

微軟調查過程中，發現 LAPSUS$ 采用了 SIM 卡調換這種欺騙性手段，通過賄賂或欺騙電信運營商員工，將受害者手機號碼移植到其使用的設備上。通過這種方式，LAPSUS$ 可以攔截發送給受害者的驗證碼，此外，還可以通過短信重置受害者的線上登陸憑證。

以上列舉的一些攻擊手段并非罕見，但第三點絕對是 LAPSUS$  獨創，與其它黑客組織遮遮掩掩不同，LAPSUS$ 特別喜歡宣傳自己，經常在社交媒體對外購買攻擊目標企業員工的登錄憑證。

【LAPSUS$ 在 Telegram 上發布的招聘啟事。圖片來源：krebsonsecurity】

這種方式聽起來匪夷所思，將社會工程學運用到了極致。LAPSUS$ 在招聘廣告中表示，電信運營商類公司或者 Microsoft、Apple、IBM 等企業員工若是能夠提供 VPN、Citrix、Anydesk 權限，將會支付高達 2 萬美金的周薪。如此高的傭金，難免會有人心動。

LAPSUS$ 將社會工程、系統漏洞和惡意軟件等攻擊手段靈活結合，進行大量攻擊活動，最終奠定了自身在黑客行業的地位，其中善用社會工程更是很難被發現，可以快速、準確獲得登陸憑證，悄無聲息進入目標企業內部網絡竊取數據 ，威脅受害者支付贖金。LAPSUS$ 如此瘋狂開展網絡攻擊，業內人人自危，都擔心可能成為下一個攻擊目標。

寫在最后

2021 年，LAPSUS$ 黑客組織橫空出世，從入侵巴西衛生部嶄露頭角，到相繼攻陷三星，微軟、英偉達等企業名聲大振。短短幾個月時間，從黑客世界一個名不見經傳的“小人物”，最終穩壓 Conti、匿名者、 Lazarus 等黑客組織，年輕的 LAPSUS$ 已成為了黑客圈當之無愧的“大人物”，無人能出其右。

網絡世界中必定還有許多類似 LAPSUS$ 的年輕黑客組織隱藏在暗處，瘋狂作案。這種現象不難解釋，目前年輕群體接觸和學習計算機知識的相對容易，也能夠快速掌握“黑客”技術，新生代白帽黑客群體逐漸年輕化也早已經成為行業共識。根據《 2021 中國白帽子調查報告》顯示，18-25 歲的白帽黑客已成為了行業主力軍，占據了65% 份額，17歲以下的白帽占比也接近 4%。

二十世紀以來，互聯網技術快速騰飛，早已深深根植于社會生產各個環節中，不僅推動了企業數字化轉型助力經濟發展，還促進全球上下游供應鏈的快速融合，但與此同時，數據泄漏，勒索軟件、網絡攻擊和安全漏洞等網絡安全問題也日益凸顯。特別是近些年，黑客組織逐漸趨向于年輕化、專業化、組織化、結構化和規模化，更多年輕、瘋狂的LAPSUS$ 黑客組織，可能正隱藏在暗處，伺機而動。