Den forholdsvis ferske hackergruppa som kaller seg selv Lapsus$ har fått mye oppmerksomhet for hackingen av store selskaper som Nvidia og Microsoft og sine ganske så uortodokse metoder.
Nå har etterforskere sporet angrepet til en 16-åring som bor sammen med moren sin i nærheten av Oxford i England, melder Bloomberg.
Gruppa som stilte høyst uvanlige krav etter å ha brutt seg inn hos Nvidia, klarte også å bryte seg inn hos den svært mye brukte leverandøren av autentiseringsløsninger, Okta. Mange fryktet store konsekvenser da gruppa delte skjermbilder som så ut til å være fra en admin-bruker hos Okta og erklærte at kundene var målet.
Microsoft bekrefter også angrep, men referer konsekvent til gruppa som DEV-0537.
– I motsetning til de fleste andre grupper som holder seg under radaren, ser ikke DEV-0537 ut til å dekke over noen spor. De går så langt som å kunngjøre angrepene sine på sosiale medier eller annonserer intensjoner om å kjøpe påloggingsinformasjon fra ansatte hos selskaper som er mål, skriver Microsoft i en blogg om hackergruppa.
Uortodokse metoder
Gruppa er svært aktiv på Telegram og viser også der sin noe originale tilnærming.
Uansett om de åpent prøver å rekruttere interne spioner inne hos selskapene eller begynner å argumentere mot Oktas pressemeldinger, får de hundrevis av kommentarer.
En del av kommunikasjonen bærer preg av trolling, som når gruppa har kommet inn i interne Zoom-møter hos selskaper som er ofre for den kriminelle aktiviteten, kun for å erte de som prøver å rydde etter dem.
Spesielt forsøket på å rekruttere folk på innsiden har fått mye oppmerksomhet.
– Det å utnytte identitets- og autentiseringsmekanismer via sosial manipulering og rekruttering av innsidere, kan være en en mindre kostbar vei inn for en trusselaktør enn å utføre avanserte tekniske operasjoner, sa senior informasjonssikkerhetsrådgiver Simen Bakke nylig til Digi.
Han la til at hackergruppa ikke er den første som jobber på denne måten.
Mindreårig
Fire sikkerhetseksperter har undersøkt hackergruppa på oppdrag fra selskaper som har blitt angrepet.
De mener nå tenåringen fra England er hjernen bak gruppa og står bak noen av de store hackene gjennomført av Lapsus$. De har ikke klart å knytte ham til alle hackene gruppa så langt har skrytt av å stå bak.
Bloomberg går ikke ut med navnet på hackeren, som er mindreårig og ikke har blitt formelt anmeldt. Navnet og adressen til tenåringen skal være lekket på nettet av rivaliserende hackere.
Moren kontakter politiet
Bloombergs reporter dro hjem til tenåringen og snakket med moren hans gjennom porttelefonen. Hun var ikke klar over anklagene mot sønnen.
Hun hadde imidlertid opplevd at tenåringen hennes ble trakassert av andre, men ville ikke gjøre ham tilgjengelig for intervju. Hun fortalte Bloomberg at hun ville kontakte politiet.
Flere av innleggene på Telegram er skrevet på portugisisk, og etterforskerne har knyttet noen av hackene til en tenåring i Brasil.
En av ekspertene forteller Bloomberg at de har identifisert sju unike kontoer assosiert med hackergruppa, noe som tyder på at flere enn de to er aktive i gruppa.
– Nå har noen av oss ferie, og det blir stille fra oss en stund, skrev gruppa selv på Telegram onsdag, samme dag som Bloomberg trykket avsløringene.