Lapsus$

<colbgcolor=#000><colcolor=#fff> Lapsus$ Group 랩서스 그룹

유형	해킹 그룹
설립일	2021년
설립자	Arion Kurtaj[1]
맴버 수	불명

1. 개요2. 일으킨 사건 사고

2.1. 브라질 보건부 해킹 사건2.2. 옥타 내부망 접근 사건2.3. LG전자 직원 이메일 주소 유출 사건2.4. 엔비디아 드라이버 코드, LHR 관련 파일, GPU 설계도 유출 사건2.5. 삼성 갤럭시 소스코드 해킹 사건2.6. 메르카도 리브레 소스코드 노출 사건2.7. 유비소프트 온라인 서비스 중단 사건2.8. T-모바일 소스코드 탈취 사건2.9. 마이크로소프트 소스코드 일부 유출 사건2.10. Globant 소스코드 및 관리자 인증 정보 유출 사건2.11. 레볼루트 고객 개인정보 유출 사건2.12. 우버 내부망 해킹 및 메시지 내역 유출 사건2.13. Grand Theft Auto VI/개발 초기 영상 대규모 유출 사건

3. 체포 및 유죄 판결4. 여담5. 관련 문서

1. 개요

남미에 기반을 둔 것으로 추정되는 해킹 그룹. 한국에서는 삼성 갤럭시 소스코드 해킹 사건과 GTA6 개발 초기 영상 대규모 유출 사건으로 인해 인지도가 꽤 있는 편이다.

2. 일으킨 사건 사고

2.1. 브라질 보건부 해킹 사건

2021년 12월 10일 새벽 브라질 보건부 웹사이트 등이 해킹하여 50테라바이트에 달하는 데이터를 탈취하였다. 해당 데이터에는 코로나19 백신 접종 기록, 국가 예방접종 프로그램 데이터 등 민감한 정보들이 들어 있었다. 또한 사이트에 데이터를 돌려받고 싶다면 우리에게 연락하라는 메시지를 남겼다.

이로 인해 보건부 웹사이트와 ConecteSUS 플랫폼[2]이 불능 상태가 되어, 국민들이 디지털 백신 증명서를 발급받을 수 없게 되었고 사회적 혼란이 발생했다.

Lapsus$ 그룹에게는 이 사건이 자신들의 이름을 처음으로 세계에 알리는 계기가 되었다.

2.2. 옥타 내부망 접근 사건

2022년 1월 20일 ~ 21일, 해당 그룹이 클라우드 기반 인증 서비스 제공 업체인 옥타라는 회사의 서드파티 고객 지원 업체의 네트워크를 통해 내부망에 접근했다. 이 때 2시간 반이라는 긴 시간 동안 접근이 유지되었으나 다행히도 관리자 패널 접근 시도와 일부 데이터 열람만이 확인되었을 뿐 대량의 데이터 탈취나 삭제는 일어나지 않았다.

이후 3월 21일 텔레그램을 통해 관리자 패널 스크린샷을 업로드하며 공격을 알렸다. 이후 해당 서드파티 고객 지원 업체의 접근 권한은 차단되었다.

2.3. LG전자 직원 이메일 주소 유출 사건

2022년 3월 즈음, LG전자의 직원 계정 인증 정보가 탈취된 후 유출되었다.

그 뒤 22일, 8MB 정도의 파일을 공유하며 그 파일에 포함된 88,759줄의 텍스트 데이터가 LG전자 직원들의 이메일 주소라고 주장했다. 또한, LG전자의 보안 취약성을 조롱하며 새로운 보안 대응 팀을 구성하라는 조롱 섞인 메시지를 남기기도 했다.

다행해 고객 관련 정보 유출은 확인되지 않았다.

2.4. 엔비디아 드라이버 코드, LHR 관련 파일, GPU 설계도 유출 사건

2022년 2월 23일 ~ 3월 초 엔비디아의 내부 네트워크 및 클라우드 시스템이 해킹되어 1TB의 기밀 데이터 유출가 유출되었다. 이후 유출된 데이터의 일부를 공개하며 엔비디아에 협상을 요구했다.

해당 1TB의 기밀 데이터에는 다음 정보들이 포함되어 있었다.

GPU 설계도: GPU 관련 회로도 및 설계 자료.
GPU 드라이버 소프트웨어 코드.
LHR 알고리즘: 암호화폐 채굴 성능을 제한하는 "Lite Hash Rate" 기술의 소스코드.
기타 기밀 정보: 엔비디아의 내부 문서 및 개발 자료.

이 데이터들은 클라우드로 옮겨진 뒤 접근이 차단된 것으로 추정된다.

텔레그램을 통해 엔비디아에 요구한 내용들은 아래와 같다.

LHR 제한 해제: 엔비디아의 그래픽카드에서 암호화폐 채굴 성능 제한을 제거하라는 요구이다.
드라이버 오픈소스화: GPU 드라이버 소스코드를 무료로 공개하라는 조건.~~안 들어 주면 자기들이 오픈소스로 만들겠다는 뜻~~
그 외 금전적 요구. 구체적인 금액은 공개되지 않았다.

그러나 엔비디아가 협상에 응하지 않자, 2022년 3월 이후 유출된 데이터 일부를 토렌트 링크로 공개했다.

이후 엔비디아의 주가는 사건 직후 소폭 하락했으나, 체급이 체급인지라 타격은 미미했다.

여담으로 유출된 데이터는 지금까지도 다크웹과 토렌트 사이트에서 여전히 유통 중이며, 엔비디아는 이를 추적하고 차단하려 노력 중이나 다크웹 특성상 어려워 보인다.

2.5. 삼성 갤럭시 소스코드 해킹 사건

자세한 내용은 삼성 갤럭시 소스코드 해킹 사건 문서

#!if (문단 == null) == (앵커 == null)
를

#!if 문단 != null & 앵커 == null
의 [[삼성 갤럭시 소스코드 해킹 사건#s-|]]번 문단을

#!if 문단 == null & 앵커 != null
의 [[삼성 갤럭시 소스코드 해킹 사건#|]][[삼성 갤럭시 소스코드 해킹 사건#|]] 부분을

참고하십시오.

2.6. 메르카도 리브레 소스코드 노출 사건

2022년 3월 6일, 해당 그룹이 텔레그램 채널에서 다음 공격 타겟을 결정하기 위한 설문을 게시했으며 결과로 메르카도 리브레가 뽑혔다. 이후 2일간의 해킹이 이어졌으며, 전체 데이터의 0.2% 수준인 30만 명의 사용자 데이터가 유출되었으나 민감한 금융 정보나 사용자 비밀번호가 유출되지는 않았다.

이 사건으로 메르카도 리브레의 주가가 사건 직후 약 9.3% 하락했으나, 피해가 제한적이라는 발표로 인해 빠르게 원래의 주가로 되돌아왔다.

이후 텔레그램에서 다음에 공개할 데이터에 대한 투표가 시작되었다. 항목은 다음과 같았다.

보다폰의 소스코드
포르투갈 미디어 기업 임프레사(Impresa)의 데이터
메르카도 리브레와 메르카도 파고의 소스코드 및 24,000개 저장소

보다폰의 소스코드 항목이 가장 많은 투표를 받아 투표 종료일인 3월 13일 공개 예정이였으나, 실제로 데이터가 공개되지는 않았다.

이후 이 사건은 아르헨티나와 국제 보안 기관에 보고되었으며, 이는 랩서스 멤버 7명이 체포되는 계기가 되었다.

2.7. 유비소프트 온라인 서비스 중단 사건

2022년 3월 4일경부터 유비소프트의 게임인 어쌔신 크리드, 파 크라이, 레인보우 식스 등의 서비스가 일시적으로 중단되는 일이 일어났다.

이후 3월 10일 유비소프트가 공식 성명을 통해 사이버 보안 사고로 인해 일부 게임, 시스템, 서비스가 일시적으로 중단되었다고 밝혔으며, 모든 게임과 서비스는 정상적으로 작동 중이고 개인 정보가 접근되거나 유출되지는 않았다 강조했다.

그 뒤 The Verge가 유비소프트의 보안 사고를 보도하자, 텔레그램 채널에 해당 기사 링크와 함께 "😏" 이모지를 게시하여 사실상 공격을 암시적으로 인정했다. 그 뒤 약 20GB의 데이터를 탈취했다고 주장했으나 구체적인 내용은 밝혀지지 않았으며, 본인들이 밝히길 유비소프트 고객 데이터는 노리지 않았다고 주장하기는 하나 사실인지는 확인할 길이 없다.

2.8. T-모바일 소스코드 탈취 사건

2022년 3월 중순, 세계 최대 규모의 다국적 이동통신사인 T-모바일의 내부망 및 시스템에 해당 그룹이 침입하여 소스코드를 탈취하였다. 처음에는 어둠의 경로로 구매한 T-모바일 직원의 인증 정보를 이용해 시스템에 접근하였고, 접근이 차단되자 새로운 인증 정보를 구해 끈질기게 재침입하여 결국 T-모바일의 고객 계정 관리 도구인 Atlas 등의 내부 시스템에 접근하는 데 성공하였다.

고객 계정 관리 도구 Atlas를 활용해 SIM 스와핑을 시도했고, FBI와 국방부 계정에도 접근을 시도했으나 추가 인증이 필요해 실패한 것으로 나타났다.

이후 자동화 스크립트를 실행해 30,000개 이상의 소스코드 저장소[3]를 빼돌렸다고 주장했다. 슬랙과 Bitbucket 계정에도 침투해 추가 데이터를 탐색했으나 큰 성과는 없던 것으로 보인다.

내부 시스템에 접근에 성공한 후 텔레그램에서 침투 사실을 알리며 T-모바일 직원의 가상 머신에서 삼성 해킹 관련 기사를[4] 읽는 장면을 캡처한 스크린샷을 올렸다.

2.9. 마이크로소프트 소스코드 일부 유출 사건

2022년 3월 20일에서 이틀 간, 유출된 단 한 명의 직원 계정으로 마이크로소프트의 Azure DevOps 서버 및 내부 시스템에 침입하여 Bing, Cortana 등의 소스코드 약 37GB가 유출되었다.

3월 20일 침입 성공 즉시 텔레그램에 Azure DevOps 서버의 스크린샷을 게시하며 침투 사실을 알렸고, Bing 검색 엔진 소스코드의 90%, Bing Maps, Cortana 소스코드의 약 45%를 빼돌렸다. 그리고 그 다음 날 약 250개 이상의 마이크로소프트 내부 프로젝트 소스코드가 담긴 9GB의 파일을 공유하였다.

이후 해당 계정은 복구되었다.

2.10. Globant 소스코드 및 관리자 인증 정보 유출 사건

2022년 3월 29일, IT 및 소프트웨어 개발 회사 Globant가 해킹되어 소스코드와 관리자 인증 정보가 탈취되었다. 이후 유출된 정보로 추측되는 70GB의 데이터를 토렌트 파일로 공개했으며 또한 Globant의 깃허브, 컨플루언스, 등 개발 플랫폼에 대한 관리자 인증 정보도 같이 유출하였다.

유출된 70GB의 데이터에는 Globant 고객사의 소스코드, 프로젝트 관련 문서, 150개 이상의 SQL 데이터베이스 파일, TLS 인증서 개인 키, Azure 키, 타사 API 키가 포함되어 있었으며, Apple [5], 페이스북, DHL, 씨티은행, BNP 파리바 등의 기업들의 이름이 포함된 폴더가 스크린샷 이미지도 포함되어 있었다.

이후 Globant의 주가는 약 10%정도 하락했으나, 피해가 제한적이라는 발표로 빠르게 회복되었다.

여담으로 컨플루언스, Jira의 인증 정보를 공개할 때 비밀번호가 너무 쉽다며(...) 대놓고 디스하기도 했다.

2.11. 레볼루트 고객 개인정보 유출 사건

2022년 9월 14일, 레볼루트의 시스템에 침투하여 5,026명의 고객 데이터를 탈취하고 채팅 시스템을 장악해 부적절한 메시지를(...) 사용자들에게 전송했다.

유출된 정보에는 이름, 이메일 주소, 일부 계좌 세부 정보 등이 포함되었으나, 다행히도 신용카드 번호나 비밀번호와 같은 금융 데이터는 유출되지 않은 것으로 확인되었다.

전과 달리 텔레그램 채널에서 공격 사실을 과시하지 않았다.

2.12. 우버 내부망 해킹 및 메시지 내역 유출 사건

2022년 9월 15일, 다크웹에서 구매한 외부 계약자 계정[6] 정보를 이용하여 우버 내부망 및 시스템에 접근한 뒤 슬랙 메시지, 재무 관리 도구 데이터를 탈취하였다.

처음부터 외부 계약자 계정을 이용하여 우버 내부망에 접근했던 것은 아니다. 해당 계정을 MFA Fatigue[7] 요법으로 로그인하였던 것이다. 그 이후 해당 계정을 이용해 Google Workspace, AWS, 슬랙에서의 권한을 얻은 것이다. 또, 접근한 PowerShell 스크립트에 주석으로 쓰여 있던 관리자 인증 정보도 발견하여 더욱 사태를 심각하게 만들었다.

이후 자신들의 텔레그램 채널과 우버 내부 슬랙을 통해 공격 사실을 공개하며 "회사가 드라이버에게 충분한 임금을 지급하지 않는다"는 해시태그(#uberunderpaysdrivers)를 게시하는 등 대놓고 회사를 조롱하였다. 또한 내부 웹사이트를 이용하여 선정적인 이미지를 노출하는 등의 행보도 보였다.

또한 약 70개의 HackerOne 버그 보고서를 포함한 내부 데이터와 재무 팀이 사용하는 인보이스 관리 도구의 정보를 빼돌렸다고 주장했다. 탈취된 데이터가 다크웹에 유통되었는지 명확히 확인되지는 않았다.

이후 9월 19일 우버 공식 입장에 따르면, 공격자가 고객 데이터나 공용 시스템에 접근한 흔적은 보이지 않는다고 주장했으나, 내부 Slack 메시지와 인보이스 데이터가 유출되었다고 인정했다. 이후 해킹된 계정의 접근을 차단하고 비밀번호를 재설정했으며, Slack, AWS, GCP 등 내부 도구를 일시적으로 비활성화하고, 키를 재발급받았다고 밝혔다. 또한 유출된 HackerOne 보고서에 대해서는 이미 수정된 보고서라고 주장했다.

2.13. Grand Theft Auto VI/개발 초기 영상 대규모 유출 사건

자세한 내용은 Grand Theft Auto VI/개발 초기 영상 대규모 유출 사건 문서

#!if (문단 == null) == (앵커 == null)
를

#!if 문단 != null & 앵커 == null
의 [[Grand Theft Auto VI/개발 초기 영상 대규모 유출 사건#s-|]]번 문단을

#!if 문단 == null & 앵커 != null
의 [[Grand Theft Auto VI/개발 초기 영상 대규모 유출 사건#|]][[Grand Theft Auto VI/개발 초기 영상 대규모 유출 사건#|]] 부분을

참고하십시오.

3. 체포 및 유죄 판결

2022년 3월 24일, 그룹 맴버 7명이 영국에서 체포되었다. 이 때 설립자 화이트도 체포되었는데, 이전에 전직 동료에 의해 개인정보가 공개된 것의 영향이 크다. 결국 2022년 4월 1일에 17세 소년과 함께 기소되었다.[8]

화이트는 자폐증을 앓고 있어 재판을 받기에 적합하지 않다는 평가를 받았지만, 소송이 2023년 8월까지 진행되어 화이트와 다른 맴버들 모두 유죄 판결을 받았다. 다만 화이트는 정신병원에 무기한 입원 명령을 받았다.

4. 여담

전형적인 랜섬웨어를 사용하지 않으며, 데이터를 탈취한 후 이를 공개/판매하는 방식으로 수익을 얻는다.
텔레그램를 통해 자신들의 공격을 홍보하고, 활동을 과시하는 경향이 크다.
초기에는 남미와 영국 기업을 노렸으나, 나중에는 글로벌 기업으로까지 타겟을 확장했다.
주로 대기업의 보안 취약점을 노리며, 내부 직원 계정 구매, 심 스와핑 등의 방법을 활용해 시스템에 침투한다.
맴버의 대부분이 미성년자이다. 애초에 설립자부터 17세의 나이로 활동했었다.
창시자인 화이트는 체포 직전까지 약 1,400만 달러 상당의 비트코인을 벌어들인 것으로 추정된다. 당시 환율로 150억원 정도이다.
일으킨 대부분의 사건이 2022년 3월과 9월에 집중되어 있으며, 데이터를 유출하고 협박하거나 이를 과시하고 피해 회사를 조롱한다는 공통점이 있다.
2023년 이후로는 맴버 7명의 체포로 인한 것인지 활동이 거의 없다.

텔레그램 채널 최상단에 직원/내부자를 모집한다는 공지를 항상 띄워 놓는다.

{{{#!folding 【원문 펼치기 · 접기】

LAPSUS$ We recruit employees / insider at the following!!!
- Any company providing Telecommunications ( Claro, Telefonica, ATT, and other similar ) - Large software / gaming corporations( Microsoft, Apple, EA, IBM, and other similar )
- Callcenter / BPM ( Atento, Teleperformance, and other similar )
- Server hosts ( OVH, Locaweb, and other similar )

TO NOTE : WEARE NOT LOOKING FOR DATA, WEARE LOOKING FOR THE EMPLOYEE TO PROVIDE US A VPN OR CITRIX TO THE NETWORK, or someanydesk

If you are not sure if you are needed then send a DM and we will respond!!!!
If you are not a employee here but have access such as VPN or VDI then we are stillinterested!!

You will be paid if you would like. Contact us to discuss that}}}

{{{#!wiki

LAPSUS$ 에서 직원/내부자를 모집합니다!
- 통신을 제공하는 모든 회사(Claro, Telefonica, ATT 등)
- 대형 소프트웨어/게임 회사(Microsoft, Apple, EA, IBM 등)
- 콜센터/BPM(Atento, Teleperformance 등)
- 서버 호스트(OVH, Locaweb 등)

참고: 저희는 데이터를 찾고 있는 게 아닌, 네트워크에 VPN이나 Citrix를 제공해 주실 직원을 찾고 있습니다.

필요한지 확실하지 않으면 DM을 보내주시면 답변해 드리겠습니다!
직원이 아니더라도 VPN이나 VDI에 접근 권한이 있다면 연락해 주시면 감사하겠습니다!

원하시면 보수를 지급해 드립니다. 문의해 주시면 논의해드리겠습니다.}}}

5. 관련 문서

[1] 한국어로는 아리온 쿠르타이라고 읽는다. 체포 전에는 white(화이트)라는 가명을 사용해왔었다. 여담으로 영국 옥스퍼드 출신이라고 한다.[2] 브라질 시민의 의료 기록(백신 접종, 입원, 약물 처방 등)을 관리하는 핵심 앱[3] 프로젝트와 관련된 소스코드.[4] 이 사건 또한 해당 그룹이 일으킨 사건이다.[5] 정확히는 "Apple(apple-health-app)"이라고 쓰여 있다. Globant가 애플 협력해 개발한 BeHealthy 앱과 관련된 것으로 보인다.[6] 해당 계정은 소유자의 개인 기기가 멀웨어에 감염된 상태였다고 한다.[7] 인증 요청(MFA)을 폭격하듯이 쉴 새 없이 보내어 실수로 요청을 승인하도록 하는 공격법.[8] 이후 보석으로 풀려나긴 했다.