Amerikanske myndigheter presser på for å fikse sikkerhetsfeilene Lapsus$ hackere brukte for å lekke GTA VI
US Cybersecurity and Infrastructure Security Agency (CISA) ber om strengere SIM-byttebeskyttelse og overgangen til en passordløs fremtid etter fjorårets Lapsus$-angrep. I en lang rapport utgitt på torsdag, beskriver byrået tenåringshackingsgruppens nøkkelteknikker og gir anbefalinger for å forhindre lignende angrep fremover.
Lapsus$ skapte overskrifter i fjor etter at de tok æren for nettangrepene som rammet store teknologiselskaper som Nvidia, Samsung, Ubisoft, T-Mobile, Uber og Microsoft. Gruppen klarte også å stjele og lekke 90 videoer som inneholder spillopptak fra Rockstars kommende Grand Theft Auto VI spill. Syv tenåringer knyttet til gruppen ble arrestert i London i fjor.
CISA ber om at Federal Trade Commission og Federal Communications Commission gjør mer for å beskytte forbrukere mot SIM-bytteangrep. I forrige måned foreslo FCC et nytt sett med regler som ville kreve at trådløse leverandører “vedtar sikre metoder for å autentisere en kunde” når de utfører SIM-bytte.
«Lapsus$ var unik for sin effektivitet, hurtighet, kreativitet og dristighet; det fungerte på en måte som ga styret en gunstig linse der vi kunne se systemiske problemer i det digitale økosystemet», skriver CISA. “Lapsus$ utnyttet, med stor og bred effekt, en lekebok med effektive teknikker, som andre trusselaktører også kan bruke.”
Til tross for omfanget av Lapsus$-angrepene, sier CISA at gruppen gjør det klart «hvor lett det var for medlemmene (ungdom, i noen tilfeller) å infiltrere godt forsvarte organisasjoner». En av metodene som brukes av Lapsus$ er SIM-bytte, eller det å få kontroll over et måls telefonnummer gjennom sosial ingeniørkunst og andre metoder. Dette lar den dårlige skuespilleren motta anrop eller tekstmeldinger fra det nummeret, inkludert meldinger som inneholder tofaktorautentiseringskoder knyttet til et offers sensitive kontoer.
På grunn av dette anbefaler CISA nå at bedrifter går bort fra tale- og SMS-basert multifaktorautentisering til fordel for passordløse løsninger. Det antyder at organisasjoner bruker passord som er kompatible med FIDO2-standarden i stedet, som lar brukere logge på kontoene sine ved å bruke fingeravtrykk eller en maskinvarebasert sikkerhetsnøkkel. Mange selskaper og passordadministratorer har allerede begynt å støtte passordløse påloggingsmetoder, inkludert Google, 1Password, Microsoft og Dashlane.
I tillegg oppfordrer CISA spesifikt operatører til å “implementere strengere autentiseringsmetoder for SIM-bytte.” Det inkluderer å gi kundene muligheten til å låse kontoene sine for å forhindre SIM-bytte og kreve “sterk identitetsbekreftelse” for SIM-bytte, samt å gi kontoinnehavere en “detaljert oversikt” over når et SIM-bytte skjer.
Gitt at flertallet av kjente Lapsus$-hackere er tenåringer, foreslår CISA også at Kongressen finansierer «ungdomsprogrammer for forebygging av nettkriminalitet» samt «fremme programmer for avbrudd og omdirigering» for å hindre unge mennesker i å bli involvert i nettkriminalitet i fremtiden.