Álcázott támadás vagy valódi adatlopás?
A Telegramon közzétett képernyőfotókkal igyekeztek bizonyítani, hogy teljes hozzáférést szereztek a Resecurity szervereihez. A posztok szerint sikerült megszerezniük munkavállalói adatokat, belső levelezéseket, fenyegetés-elemzési jelentéseket és a teljes ügyféladatbázist. Képek jelentek meg egy Mattermost csevegőfelületről, ahol a Resecurity és a Pastebin alkalmazottai illegális tartalmakról csevegtek. Az önmagukat „Scattered Lapsus$ Hunters”-ként nevező támadók a Resecurity korábbi, velük szembeni szociális mérnöki kísérleteire hivatkoztak. Más szóval, a hackertámadást megtorlásnak szánták, miután szerintük a vállalat beépített embereik révén próbált több információhoz jutni, például egy vietnámi pénzügyi adatbázis vásárlásakor.
A Resecurity verziója: csak egy kifinomult csalétek
A Resecurity tagadja az adatlopást, sőt, hangsúlyozza, hogy az érintett rendszerek valójában sosem tartalmaztak valódi ügyféladatokat vagy belső információkat. Ezeket a gépeket kimondottan a támadók csalogatására, viselkedésük megfigyelésére állították fel. Ezáltal a cég, saját bevallása szerint, álkörnyezetet teremtett, ahol ál-dolgozói és ügyféladatokat, valamint több mint 28 000 szintetikus fogyasztói adatot és több mint 190 000 hamis tranzakciós rekordot helyeztek el, a Stripe API formátuma szerint. A támadók csak ilyen hamis adatokhoz férhettek hozzá, miközben minden lépésüket figyelték.
Fenyegetések, lebukás és hatósági fellépés
A cég már november 21-én – az első feltérképezési próbálkozáskor – észlelte a támadók jelenlétét, és számos, Egyiptomból és Mullvad VPN-en keresztül érkező IP-címet azonosított. A támadók decemberben több mint 188 000 automatizált lekérést indítottak, hogy a csalétekből adatokat „szivárogtassanak ki”, ám eközben saját hibáik miatt többször valós IP-címeket fedtek fel. Ezáltal sikerült begyűjteni a támadási taktikáikra és infrastruktúrájukra vonatkozó adatokat, amelyeket a Resecurity továbbított a hatóságoknak. Közben további hamis adatokat töltöttek fel a csalétekrendszerekbe, hogy még jobban feltérképezzék a támadók módszereit.
Ki is volt a valódi elkövető?
Nem ez volt az első eset, hogy több hackercsoport nevét is megemlítették: a ShinyHunters például azt állítja, semmi köze nem volt az akcióhoz, habár a Scattered Lapsus$ Hunters korábban a tagjai közé sorolta őket. A támadók valódi bizonyítékot nem mutattak be; mindössze egy újabb Telegram-posztban üzenték, hogy hamarosan még több információt tesznek közzé. Az ügy tehát nem zárult le, de a Resecurity szerint csak a saját csalétkükbe sétáltak bele a rosszfiúk.
