Lapsus$ twierdzi, że włamał się do AstraZeneca i wykradł 3 GB danych - Security Bez Tabu

Lapsus$ twierdzi, że włamał się do AstraZeneca i wykradł 3 GB danych

Cybersecurity news

Wprowadzenie do problemu / definicja

Domniemane naruszenie bezpieczeństwa w AstraZeneca to kolejny przykład ryzyka związanego z wyciekiem danych wewnętrznych organizacji o wysokiej wartości strategicznej. Według opublikowanych informacji grupa Lapsus$ miała wejść w posiadanie około 3 GB danych obejmujących m.in. poświadczenia, tokeny, fragmenty kodu źródłowego oraz informacje o pracownikach. Na moment publikacji roszczenia atakujących nie zostały publicznie potwierdzone przez firmę, jednak sama natura ujawnionych zasobów wskazuje na potencjalnie poważny incydent cyberbezpieczeństwa.

W skrócie

Lapsus$ opublikował twierdzenie o skutecznym ataku na AstraZeneca i wycieku danych o łącznym rozmiarze około 3 GB. Wśród rzekomo przejętych materiałów mają znajdować się dane dostępowe, tokeny, repozytoria kodu w technologiach Java, Angular i Python oraz informacje dotyczące pracowników. Nawet jeśli wśród danych nie ma haseł wprost, taki zestaw informacji może umożliwić dalszą eskalację ataku, rekonesans infrastruktury, kampanie phishingowe i nadużycia wobec środowisk wewnętrznych.

Kontekst / historia

Grupa Lapsus$ jest znana z agresywnych działań ukierunkowanych na duże organizacje oraz z wykorzystywania skradzionych danych do wywierania presji, publikacji wycieków i wzmacniania efektu medialnego. W tym przypadku informacja o rzekomym naruszeniu została opublikowana w kanałach powiązanych z aktywnością cyberprzestępczą i ofertą sprzedaży danych.

Sektor farmaceutyczny i szerzej ochrona zdrowia pozostają atrakcyjnym celem dla cyberprzestępców. Powodem jest jednoczesna obecność kilku typów cennych aktywów: własności intelektualnej, danych pracowniczych, dokumentacji technicznej, informacji infrastrukturalnych oraz systemów wspierających procesy badawcze i operacyjne. W praktyce oznacza to, że nawet ograniczony wyciek technicznych artefaktów może mieć znacznie większy wpływ niż klasyczne ujawnienie pojedynczej bazy danych.

Analiza techniczna

Z opisu incydentu wynika, że rzekomo wykradzione dane obejmują kilka klas informacji szczególnie istotnych z perspektywy atakującego. Po pierwsze, poświadczenia i tokeny mogą umożliwiać dostęp do usług, API, repozytoriów lub platform zarządzania tożsamością, o ile pozostają aktywne lub zostały niewłaściwie zabezpieczone. Po drugie, kod źródłowy pozwala na analizę logiki aplikacji, identyfikację błędów implementacyjnych, twardo zakodowanych sekretów, zależności z lukami bezpieczeństwa oraz mechanizmów integracyjnych.

Obecność repozytoriów w technologiach Java, Angular i Python sugeruje, że wyciek może obejmować zarówno komponenty backendowe, jak i frontendowe oraz narzędzia automatyzacji lub integracji. Taki materiał bywa szczególnie wartościowy dla napastników, ponieważ umożliwia:

  • mapowanie architektury aplikacyjnej,
  • identyfikację punktów styku z usługami zewnętrznymi,
  • rozpoznanie schematów uwierzytelniania i autoryzacji,
  • wyszukiwanie sekretów pozostawionych w plikach konfiguracyjnych,
  • przygotowanie precyzyjnych kampanii socjotechnicznych wobec zespołów technicznych.

Informacje o pracownikach dodatkowo zwiększają ryzyko ataków ukierunkowanych. Jeżeli wyciek zawiera dane organizacyjne, adresy kontaktowe, role służbowe lub informacje o strukturze zespołów, mogą one zostać wykorzystane do phishingu, spear phishingu, prób przejęcia kont oraz podszywania się pod administratorów, deweloperów lub dostawców.

Istotne jest także rozróżnienie między samym twierdzeniem o naruszeniu a jego technicznym potwierdzeniem. W praktyce bezpieczeństwa publikacja przez grupę przestępczą nie zawsze oznacza pełną autentyczność wszystkich deklaracji, ale już sama próbka danych, metadane plików, struktura archiwum czy zgodność materiału z rzeczywistym środowiskiem ofiary mogą stanowić mocne przesłanki, że doszło do realnej kompromitacji.

Konsekwencje / ryzyko

Najpoważniejsze ryzyka wynikające z takiego incydentu nie ograniczają się do jednorazowego wycieku. Jeśli przejęte zostały aktywne tokeny, sekrety lub dane konfiguracyjne, organizacja może być narażona na wtórne ataki, w tym utrzymanie dostępu przez napastnika, ruch boczny w infrastrukturze i eskalację uprawnień. Wykradziony kod źródłowy może przyspieszyć proces przygotowania exploitów lub ułatwić analizę słabych punktów aplikacji.

W przypadku firmy z sektora farmaceutycznego konsekwencje mogą obejmować również:

  • ryzyko utraty poufności materiałów badawczo-rozwojowych,
  • zakłócenia procesów operacyjnych i IT,
  • wzrost kosztów reagowania na incydent,
  • presję reputacyjną i potencjalne skutki regulacyjne,
  • długotrwałe kampanie phishingowe wymierzone w personel.

Nawet jeśli dane pacjentów nie zostały objęte incydentem, ekspozycja kodu, dokumentacji technicznej i informacji dostępnych może mieć krytyczne znaczenie dla bezpieczeństwa środowisk korporacyjnych. W praktyce tego typu wycieki często stają się początkiem kolejnych etapów ataku, a nie jego końcem.

Rekomendacje

Organizacje powinny traktować podobne zdarzenia jako sygnał do natychmiastowej walidacji własnej powierzchni ataku i gotowości operacyjnej. W szczególności warto wdrożyć następujące działania:

  • Bezzwłocznie zresetować wszystkie potencjalnie zagrożone poświadczenia, tokeny, klucze API i sekrety.
  • Przeprowadzić przegląd repozytoriów kodu pod kątem danych wrażliwych, twardo zakodowanych sekretów i błędów konfiguracji.
  • Zweryfikować logi dostępu do systemów tożsamości, repozytoriów, CI/CD, VPN i usług chmurowych.
  • Włączyć lub zaostrzyć monitorowanie anomalii związanych z użyciem tokenów, nietypowym pobieraniem danych i próbami dostępu uprzywilejowanego.
  • Upewnić się, że uwierzytelnianie wieloskładnikowe jest obowiązkowe dla kont administracyjnych, deweloperskich i zdalnego dostępu.
  • Przeprowadzić threat hunting pod kątem ruchu bocznego, nieautoryzowanych integracji i trwałych mechanizmów utrzymania dostępu.
  • Zwiększyć czujność użytkowników wobec phishingu ukierunkowanego, zwłaszcza w zespołach technicznych i administracyjnych.
  • Przygotować plan komunikacji kryzysowej i procedury oceny wpływu incydentu na zgodność regulacyjną oraz ciągłość działania.

Z perspektywy długofalowej kluczowe jest także wdrożenie zasad bezpiecznego zarządzania sekretami, segmentacji dostępu do repozytoriów, kontroli uprawnień zgodnie z zasadą najmniejszych przywilejów oraz regularnego skanowania kodu i pipeline’ów DevSecOps.

Podsumowanie

Domniemany atak Lapsus$ na AstraZeneca pokazuje, że największą wartość dla cyberprzestępców mają dziś nie tylko klasyczne bazy danych, ale również artefakty techniczne: kod źródłowy, tokeny, konfiguracje i informacje organizacyjne. Taki zestaw danych może posłużyć do dalszych etapów kompromitacji, kampanii socjotechnicznych i presji na ofiarę. Nawet bez oficjalnego potwierdzenia incydentu przez firmę, sama skala i charakter rzekomo wykradzionych materiałów wskazują na scenariusz, który powinien być traktowany bardzo poważnie przez zespoły bezpieczeństwa w sektorze ochrony zdrowia i poza nim.

Źródła

  1. Security Affairs — https://securityaffairs.com/189936/data-breach/cybercrime-group-lapsus-claims-the-hack-of-pharma-giant-astrazeneca.html
  2. SOCRadar — Alleged breach involving AstraZeneca referenced in threat actor channels — https://socradar.io/