T-Mobile wurde von der Cyberkriminellen-Gruppe LAPSUS$ durch kompromittierte Mitarbeiterkonten verletzt

T-Mobile hat einen weiteren Datenverstoß erlitten, diesmal von jungen Hackern, die Teil der LAPSUS$-Gruppe waren. T-Mobile behauptet, dass es keine Verletzung von Kundeninformationen oder Regierungsdaten gegeben habe. LAPSUS$ scheint jedoch sowohl Zugang zu den Quellcode-Repositories von T-Mobile als auch zu seinem Kundenverwaltungssystem erhalten zu haben.

Gemeldet und gesehen von Krebs über Sicherheit (über TechCrunch ) zeigen durchgesickerte Nachrichten zwischen Mitgliedern der LAPSUS$-Gruppe für Cyberkriminalität, dass sie sich im vergangenen Monat mehrmals erfolgreich in T-Mobile gehackt haben.

Die Hacker verschafften sich Zugriff auf die internen Systeme von T-Mobile, indem sie mehrere Mitarbeiterkonten mit Einkäufen über Websites wie „Russian Market“, Social Engineering und andere Methoden zum Stehlen der Informationen übernahmen.

Die Nachrichten zeigen, dass jedes Mal, wenn LAPSUS$ vom Konto eines T-Mobile-Mitarbeiters getrennt wurde – entweder weil der Mitarbeiter versuchte, sich anzumelden oder sein Passwort zu ändern – er einfach einen anderen Satz von T-Mobile VPN-Anmeldeinformationen fand oder kaufte. T-Mobile beschäftigt derzeit weltweit rund 75.000 Mitarbeiter.

Die LAPSUS$-Chats und Screenshots zeigen, dass sie sich am 19. März in das Atlas-Kundenverwaltungssystem von T-Mobile gehackt und nach „Konten im Zusammenhang mit dem FBI und dem Verteidigungsministerium“ gesucht haben. Wie sich jedoch herausstellte, verfügte LAPSUS$ nicht über die zusätzlichen Anmeldeinformationen, um auf diese Informationen zuzugreifen.

Während einige der LAPSUS$-Mitglieder „verzweifelt die SIM-Karte einiger wohlhabender Ziele gegen Geld austauschen wollten“, beschloss ihr 17-jähriger Anführer „White“, den VPN-Zugang zum Atlas-System wegzuwerfen und wandte sich der Erforschung von Bitbucket und T-Mobile zu Slack-Konten.

Etwa 12 Stunden später teilte „White“ Screenshots mit einem von ihm erstellten Skript, das über 30.000 Quellcode-Repositories von T-Mobile heruntergeladen hatte, die Inhalte zu einer Vielzahl von Projekten des Netzbetreibers enthielten.

Als Reaktion auf den LAPSUS$-Hack teilte T-Mobile Krebs on Security die folgende Erklärung mit:

Vor einigen Wochen haben unsere Überwachungstools einen Angreifer identifiziert, der gestohlene Zugangsdaten verwendet hat, um sich Zugang zu internen Systemen zu verschaffen, die Software für operative Tools enthalten. Wir haben keine Beweise dafür, dass der Eindringling Kunden-, Regierungs- oder ähnliche vertrauliche Informationen erhalten hat. Unsere Systeme und Prozesse funktionierten wie geplant, das Eindringen wurde schnell abgeschaltet und abgewehrt, und die verwendeten kompromittierten Zugangsdaten wurden hinfällig.

Warum sich LAPSUS$ entschieden hat, sich auf den T-Mobile-Quellcode zu konzentrieren, anstatt böswillige SIM-Tauschs vorzunehmen, glaubt Krebs on Security, dass sie nach größeren Sicherheitslücken hätten suchen können, bereits Käufer für den Quellcode in der Reihe hatten oder es möglicherweise gerechtfertigt war „ein großer Capture-the-Flag-Wettbewerb.“

Die aktivsten Mitglieder von LAPSUS$ wurden kurz nach dem Verstoß von T-Mobile festgenommen.

Youtube einbetten