Skip to main content

В T-Mobile произошла еще одна утечка данных, на этот раз совершенная молодыми хакерами, входившими в группу LAPSUS$. Хотя T-Mobile заявила, что никакая информация о клиентах или правительстве не была скомпрометирована, похоже, что LAPSUS$ получила доступ к репозиториям исходного кода T-Mobile вместе со своей системой управления учетными записями клиентов.

Согласно сообщению Krebs on Security (через TechCrunch), просочившиеся сообщения между участниками киберпреступной группы LAPSUS$ показывают, что в прошлом месяце они несколько раз успешно взломали T-Mobile.

Хакеры получили доступ к внутренним системам T-Mobile, взяв несколько учетных записей сотрудников с покупками на таких сайтах, как «Русский рынок», социальной инженерией и другими методами кражи информации.

Сообщения показывают, что каждый раз, когда LAPSUS$ отключался от учетной записи сотрудника T-Mobile — либо из-за того, что сотрудник пытался войти в систему или изменить свой пароль — они просто находили или покупали другой набор учетных данных T-Mobile VPN. В настоящее время в T-Mobile работает около 75 000 сотрудников по всему миру.

Чаты LAPSUS$ и скриншоты показывают, что 19 марта они взломали систему управления клиентами T-Mobile Atlas и искали «учетные записи, связанные с ФБР и Министерством обороны». Но, как оказалось, у LAPSUS$ не было дополнительных учетных данных для доступа к этой информации.

В то время как некоторые участники LAPSUS$ «отчаянно хотели обменять SIM-карты некоторых богатых целей на деньги», их 17-летний лидер «Белый» решил отказаться от VPN-доступа к системе Atlas и сосредоточился на изучении Bitbucket и T-Mobile. Слабые аккаунты.

Примерно через 12 часов «Уайт» поделился снимками экрана, показывающими, что созданный им сценарий загрузил более 30 000 репозиториев исходного кода T-Mobile, которые включали контент различных проектов оператора.

В ответ на взлом LAPSUS$ компания T-Mobile поделилась с Кребсом по вопросам безопасности следующим заявлением:

Несколько недель назад наши инструменты мониторинга обнаружили злоумышленника, использующего украденные учетные данные для доступа к внутренним системам, в которых размещено программное обеспечение операционных инструментов. Системы, к которым был получен доступ, не содержали информации о клиентах или правительстве или другой аналогичной конфиденциальной информации, и у нас нет доказательств того, что злоумышленник смог получить что-либо ценное. Наши системы и процессы работали в соответствии с проектом, вторжение было быстро остановлено и закрыто, а использованные скомпрометированные учетные данные оказались устаревшими.

Что касается того, почему LAPSUS$ решила сосредоточиться на исходном коде T-Mobile, а не на злонамеренной подмене SIM-карты, Krebs on Security считает, что они могли искать более серьезные недостатки в безопасности, уже имели покупателей для исходного кода, или это было потенциально просто «одно большое соревнование по захвату флага».

Наиболее активные члены LAPSUS$ были арестованы вскоре после взлома T-Mobile.