T-Mobile naruszone przez grupę cyberprzestępczą LAPSUS$ za pośrednictwem zhakowanych kont pracowników
T-Mobile doznało kolejnego naruszenia bezpieczeństwa danych, tym razem dokonanego przez młodych hakerów należących do grupy LAPSUS$. T-Mobile twierdzi, że nie doszło do naruszenia informacji o klientach ani danych rządowych. Wydaje się jednak, że LAPSUS$ uzyskał dostęp zarówno do repozytoriów kodów źródłowych T-Mobile, jak i systemu zarządzania klientami.
Zgłoszone i widziane przez Krebs o bezpieczeństwie (przez TechCrunch ), wiadomości, które wyciekły między członkami grupy cyberprzestępczej LAPSUS$, pokazują, że w zeszłym miesiącu wielokrotnie udało im się włamać do T-Mobile.
Hakerzy uzyskali dostęp do wewnętrznych systemów T-Mobile, przejmując wiele kont pracowników z zakupami za pośrednictwem witryn takich jak „Russian Market”, socjotechnika i innymi metodami kradzieży informacji.
Wiadomości ujawniają, że za każdym razem, gdy LAPSUS$ został odcięty od konta pracownika T-Mobile — albo dlatego, że pracownik próbował się zalogować lub zmienić hasło — po prostu znajdowali lub kupowali inny zestaw danych uwierzytelniających T-Mobile VPN. T-Mobile zatrudnia obecnie około 75 000 pracowników na całym świecie.
Czaty i zrzuty ekranu LAPSUS$ pokazują, że 19 marca włamali się do systemu zarządzania klientami Atlas firmy T-Mobile i wyszukali „konta powiązane z FBI i Departamentem Obrony”. Ale jak się okazało, LAPSUS$ nie miał dodatkowych danych uwierzytelniających, aby uzyskać dostęp do tych informacji.
Podczas gdy niektórzy członkowie LAPSUS$ „desperacko chcieli zamienić na SIM niektóre bogate cele na pieniądze”, ich 17-letni lider „White” postanowił odrzucić dostęp VPN do systemu Atlas i skupił się na badaniu Bitbucket i Słabe konta.
Około 12 godzin później „White” udostępnił zrzuty ekranu pokazujące, że stworzony przez niego skrypt pobrał ponad 30 000 repozytoriów kodów źródłowych T-Mobile, które zawierały treści dotyczące różnych projektów operatora.
W odpowiedzi na hack LAPSUS$, T-Mobile udostępnił Krebsowi następujące oświadczenie w sprawie bezpieczeństwa:
Kilka tygodni temu nasze narzędzia monitorujące wykryły złego aktora, który wykorzystał skradzione dane uwierzytelniające, aby uzyskać dostęp do systemów wewnętrznych, w których znajduje się oprogramowanie dla narzędzi operacyjnych. Nie mamy dowodów na to, że intruz uzyskał jakiekolwiek informacje poufne o klientach, rządzie lub podobne. Nasze systemy i procesy działały zgodnie z założeniami, włamanie zostało szybko zamknięte i zamknięte, a wykorzystane dane uwierzytelniające stały się przestarzałe.
Jeśli chodzi o to, dlaczego firma LAPSUS$ zdecydowała się skoncentrować na kodzie źródłowym T-Mobile zamiast dokonywać złośliwych zamian kart SIM, Krebs on Security uważa, że mogli szukać większych luk w zabezpieczeniach, mieli już nabywców kodu źródłowego lub potencjalnie było to po prostu „jeden duży konkurs Capture the Flag”.
Najbardziej aktywni członkowie LAPSUS$ zostali zatrzymani wkrótce po włamaniu do T-Mobile.
umieścić na youtube