En grupp som kallar sig LAPSUS$ påstår sig ha brutit sig in hos AstraZeneca och stulit 3 GB intern data - inklusive källkod, molnkonfigurationer och personaluppgifter. Påståendena är ännu inte bekräftade, men de provfiler som läckts ut pekar på att åtminstone delar av materialet kan vara autentiskt.

Vad gruppen påstår sig ha stulit

Enligt inlägg på ett hackerforum och gruppens egen webbplats ska det stulna materialet innehålla:

• Källkod i Java, Angular och Python
• Konfigurationer för molninfrastruktur (AWS, Azure, Terraform)
• Privata nycklar och vault-data
• Personalrelaterade dataset och kontraktsuppgifter

Datan uppges vara packad i .tar.gz-arkiv och totalt uppgå till cirka 3 GB. Gruppen erbjuder materialet till högstbjudande och har delat provfiler som stöd för sina påståenden.

Vad provfilerna visar

Hackread.com har granskat de läckta provfilerna och delar in dem i tre kategorier:

GitHub Enterprise-data

En av filerna innehåller strukturerade poster som liknar exporter från en GitHub Enterprise-miljö. Uppgifterna inkluderar anställda namn, kostnadscenterkoder, licenstyper, tvåstegsverifiering-status samt roller och behörigheter inom flera interna organisationer. Datastrukturen stämmer väl överens med vad man kan förvänta sig från ett riktigt enterprise-system - inte från offentlig skrapning. Om materialet är äkta skulle det kunna avslöja interna åtkomsthierarkier och underlätta riktade attacker.

Tredjeparts- och kontraktsdata

En annan fil speglar åtkomstbegäran och onboarding för externa samarbetspartners. Här finns interna användar-ID, fullständiga namn, e-postadresser, företagsaffilieringar (IQVIA, Parexel, Labcorp m.fl.) samt åtkomststatus till interna system som Confluence. Att operationella kommentarer från interna team finns med tyder på att det rör sig om riktig intern processdata - inte fabricerat innehåll. Risknivån bedöms som medelhög till hög, eftersom uppgifterna kan användas för riktade phishing-kampanjer.

Generisk finansiell data

Den tredje filen innehåller aggregerad finansiell statistik markerad 'Alla branscher' med generiska fält som tillgångar, löner och intäkter. Denna data verkar vara offentlig eller generisk och saknar direkt koppling till AstraZeneca. Den bedöms ha låg risknivå och kan ha inkluderats för att öka provfilernas volym.

Risknivå - sammanfattning

Den mest allvarliga risken ligger i de påstådda 'secrets and access'-uppgifterna - privata nycklar och vault-data. Om dessa är äkta skulle det kunna innebära full kompromiss av AstraZenecas molnmiljö. Några sådana uppgifter syns dock inte i de granskade provfilerna.

Det är viktigt att notera att tillskrivning på hackerforum är opålitlig. Att gruppen använder namnet LAPSUS$ bekräftar inte att det faktiskt är samma aktörer som tidigare stått bakom uppmärksammade intrången.

AstraZeneca har inte kommenterat

Vid publiceringstillfället är påståendena obekräftade. Hackread.com uppger att de kontaktat AstraZeneca för kommentar och att artikeln uppdateras när svar inkommer.

Vad betyder detta för svenska företag?

Intrången - om de bekräftas - illustrerar hur kritiskt det är att skydda GitHub-åtkomst, molnkonfigurationer och kontraktsdata. Exponerade behörigheter och åtkomsthierarkier är en direkt ingång för angripare. Är er organisation skyddad?

Kontakta oss på BlckIT för att se över er säkerhetsställning.