T-Mobile piraté par le groupe de cybercriminalité LAPSUS$ via des comptes d'employés compromis

T-Mobile a subi une autre violation de données, cette fois réalisée par de jeunes pirates faisant partie du groupe LAPSUS$. T-Mobile affirme qu'il n'y a eu aucune violation des informations client ou des données gouvernementales. Cependant, LAPSUS$ semble avoir eu accès à la fois aux référentiels de codes sources de T-Mobile et à son système de gestion des clients.

Rapporté et vu par Krebs sur la sécurité (passant par Tech Crunch ), des fuites de messages entre membres du groupe de cybercriminalité LAPSUS$ montrent qu'ils ont réussi à pirater T-Mobile plusieurs fois le mois dernier.

Les pirates ont eu accès aux systèmes internes de T-Mobile en prenant en charge plusieurs comptes d'employés avec des achats via des sites tels que "Russian Market", l'ingénierie sociale et d'autres méthodes de vol d'informations.

Les messages révèlent que chaque fois que LAPSUS$ était coupé du compte d'un employé de T-Mobile - soit parce que l'employé essayait de se connecter ou de changer son mot de passe - il se contentait de trouver ou d'acheter un autre ensemble d'informations d'identification VPN T-Mobile. T-Mobile compte actuellement environ 75 000 employés dans le monde.

Les chats et les captures d'écran LAPSUS $ montrent qu'ils ont piraté le système de gestion des clients Atlas de T-Mobile le 19 mars et ont recherché des "comptes associés au FBI et au ministère de la Défense". Mais il s'est avéré que LAPSUS$ n'avait pas les informations d'identification supplémentaires pour accéder à ces informations.

Alors que certains des membres de LAPSUS$ "voulaient désespérément échanger des cartes SIM contre de l'argent", leur leader de 17 ans, "White", a décidé de jeter l'accès VPN au système Atlas et s'est tourné vers l'exploration de Bitbucket et de T-Mobile. Comptes lâches.

Environ 12 heures plus tard, "White" a partagé des captures d'écran montrant qu'un script qu'il avait créé avait téléchargé plus de 30 000 référentiels de code source de T-Mobile, qui comprenaient du contenu sur une variété de projets de l'opérateur.

En réponse au piratage LAPSUS$, T-Mobile a partagé la déclaration suivante avec Krebs on Security :

Il y a plusieurs semaines, nos outils de surveillance ont identifié un acteur malveillant qui a utilisé des informations d'identification volées pour accéder à des systèmes internes qui hébergent des logiciels pour des outils opérationnels. Nous n'avons aucune preuve que l'intrus a obtenu des informations sensibles sur les clients, le gouvernement ou des informations similaires. Nos systèmes et processus ont fonctionné comme prévu, l'intrusion a été rapidement arrêtée et fermée, et les informations d'identification compromises utilisées sont devenues obsolètes.

Quant à savoir pourquoi LAPSUS $ a décidé de se concentrer sur le code source de T-Mobile au lieu de faire des échanges de carte SIM malveillants, Krebs on Security pense qu'ils auraient pu rechercher de plus grandes failles de sécurité, avaient déjà des acheteurs pour le code source alignés, ou c'était potentiellement juste "un grand concours Capturez le drapeau."

Les membres les plus actifs de LAPSUS$ ont été arrêtés peu de temps après la violation de T-Mobile.

youtube intégré