# LAPSUS$ - O Grupo de Adolescentes que Hackeou a Microsoft (2022) > [!danger] Adolescentes Comprometem Big Tech via Engenharia Social > Entre dezembro de 2021 e marco de 2022, o grupo **[[lapsus-group]]** executou uma serie de comprometimentos de alto perfil usando engenharia social e recrutamento de insiders - sem exploits zero-day sofisticados. Alvos incluiram **Microsoft** (código-fonte do Windows, Azure, Bing e Cortana), **Nvidia** (certificados de assinatura de driver), **Samsung** (código-fonte de 190 GB), **Okta**, **T-Mobile**, **Ubisoft** e **Vodafone**. O mais perturbador: os principais membros eram adolescentes britanicos e **brasileiros** com 16-21 anos, operando de seus quartos. A Microsoft os classificou como **DEV-0537** e reconheceu que o método era "criativo e diferente dos atores tradicionais". --- ## Attack Flow ```mermaid graph TB A["💰 Recrutamento de Insiders<br/>Telegram e Discord<br/>Pagamento a funcionarios por acesso"] --> B["📞 SIM Swapping e Vishing<br/>Sequestro de número de celular<br/>Bypass de MFA baseado em SMS"] B --> C["🔓 Acesso a Email e VPN<br/>Credenciais compradas ou engenhariadas<br/>Conta Microsoft, Okta, etc."] C --> D["📦 Acesso a Repositorios Internos<br/>Azure DevOps, GitHub Enterprise<br/>Código-fonte proprietario"] D --> E["💾 Exfiltração em Massa<br/>Windows source code<br/>Samsung 190 GB - certificados Nvidia"] E --> F["📢 Extorsao e Leak Publico<br/>Canal Telegram @SiegedSec<br/>Código publicado como ameaça"] F --> G["🚔 Prisao dos Membros<br/>Londres - 7 presos<br/>Brasil - menor preso em Belo Horizonte"] ``` --- ## O Método: Engenharia Social Escalada O LAPSUS$ nao dependia de vulnerabilidades técnicas - seu diferencial era a **escalada de engenharia social**: ### Recrutamento de Insiders O grupo públicava no Telegram e Discord ofertas pagas a funcionarios e prestadores de servico de grandes empresas em troca de acesso. O modelo era explicitamente transacional: "Pago US$ X pela sua conta de acesso ao sistema Y". Funcionarios de call centers terceirizados eram alvos preferênciais - com acesso a sistemas dos clientes mas sem os niveis de vetting da empresa principal. ### SIM Swapping Para contornar MFA baseado em SMS, o grupo executava **SIM swapping** - convencendo operadoras de telefonia a portar números para SIMs controlados pelo grupo. Com o número sequestrado, SMS de autenticação iam para o atacante. Isso e particularmente eficaz contra MFA fraco (SMS) e demonstrou por que MFA via aplicativo autenticador e superior. ### Voz e Impersonacao Ligacoes para help desks corporativos, se passando por funcionarios esquecendo senha, usando informações obtidas em OSINT (LinkedIn, vazamentos anteriores) para responder perguntas de verificação de identidade. --- ## O Vazamento da Microsoft Em marco de 2022, o LAPSUS$ publicou no Telegram um arquivo de 37 GB contendo código-fonte de varios produtos Microsoft: - **Bing**: práticamente todo o código-fonte - **Cortana**: assistente de voz da Microsoft - **Azure**: componentes da plataforma de cloud A Microsoft investigou e confirmou que um único account foi comprometido, com "acesso limitado". A empresa afirmou que o código vazado nao representava risco de segurança adicional - o modelo de segurança da Microsoft nao depende da confidencialidade do código-fonte. Para o Nvidia: certificados de assinatura de driver foram roubados e usados para assinar malware - tornando software malicioso confiavel pelo Windows por ter assinatura legitima da Nvidia. --- ## Conexão com o Brasil O aspecto mais relevante para o Brasil: um dos membros centrais do LAPSUS$ era um **adolescente brasileiro de 16 anos** residente em Belo Horizonte, Minas Gerais. O menor foi identificado, preso e liberado por ser menor de idade. Pesquisadores identificaram o membro pelo pseudonimo "Lochx" - ele teria sido o elo entre os membros britanicos e a infraestrutura operacional do grupo. A investigação revelou que o grupo tinha **membros brasileiros** contribuindo ativamente para as operações - um lembrete de que o cibercrime de alto nivel nao e geograficamente restrito. O caso motivou o [[cert-br]] e a Policia Federal a revisar capacidades de investigação de crimes ciberneticos envolvendo menores de idade e extorsao digital. --- ## Impacto na Industria de Segurança O LAPSUS$ fez a industria questionar premissas fundamentais: 1. **Foco excessivo em malware tecnico**: a maioria dos controles de segurança sao tecnicos. Engenharia social em call centers terceirizados bypass tudo isso. 2. **Cadeia de confianca de fornecedores**: acesso delegado a prestadores de servico e superficie de ataque critica 3. **MFA SMS e insufficiente**: SIM swapping torna SMS MFA facilmente contornavel 4. **Insider threat e underestimated**: funcionarios pagos sao atores de ameaça, nao apenas hackers externos --- ## Cronologia do Incidente | Data | Evento | |------|--------| | Dez 2021 | LAPSUS$ compromete Impresa (media portuguesa) - primeiro ataque de alto perfil | | Ján 2022 | Samsung comprometida - 190 GB vazados | | Ján 2022 | Nvidia comprometida - certificados e código-fonte | | Mar 2022 | Microsoft comprometida - Windows/Bing/Cortana source code | | Mar 2022 | Okta comprometida via prestador de servico Sykes | | 24 Mar 2022 | 7 jovens presos em Londres | | Abr 2022 | Membro brasileiro menor de 16 anos detido em BH | | Set 2022 | Presos britanicos sentenciados | --- ## Referências CTI | Elemento | Ligacao | |----------|---------| | Threat Actor | [[lapsus-group]] - DEV-0537 (Microsoft) | | Técnica MITRE | [[t1199-trusted-relationship]] - insiders e prestadores de servico | | Técnica MITRE | [[t1078-valid-accounts]] - credenciais compradas | | Técnica MITRE | [[t1586-compromise-accounts]] - SIM swapping | | Pais | Brasil - membro brasileiro | | Evento anterior | [[2020-07-twitter-hack]] - engenharia social similar | | Evento relacionado | [[2022-02-conti-leaks]] | --- > [!info] Navegacao - Eventos Relacionados > [[2020-07-twitter-hack]] | [[2022-02-conti-leaks]] | [[2023-01-royal-mail]] | [[_timeline]]