T-Mobile ha confermato che il gruppo di estorsione Lapsus$ ha avuto accesso al suo sistema “diverse settimane fa“.
Il gigante delle telecomunicazioni ha risposto a un rapporto del giornalista Brian Krebs, che ha avuto accesso alle chat interne dal canale privato Telegram dei membri della banda Lapsus$.
L’azienda ha aggiunto che ha mitigato la violazione terminando l’accesso del gruppo di hacker alla sua rete e ha disabilitato le credenziali rubate che sono state utilizzate nella violazione.
Lapsus$ è una cybergang che venuta alla ribalta quando ha condotto un attacco ransomware contro il Ministero della salute brasiliano nel febbraio 2021, compromettendo i dati di COVID 19 vaccinazione dati di milioni. Più recentemente, a marzo, la polizia della città di Londra ha arrestato sette persone sospettate di essere collegate alla banda.
Le chat private scoperte da Krebs hanno rivelato che il gruppo di hacker Lapsus$ si impossessa delle credenziali di T-Mobile VPN su piattaforme illecite come il Russian Market. Utilizzando queste credenziali i membri di Lapsus$ possono ottenere l’accesso agli strumenti interni dell’azienda come Atlas: uno strumento interno di T-Mobile per la gestione degli account dei clienti. Questo li aiuterebbe a condurre un attacco di “Sim-Swapping” dove, l’hacker dirotta il numero della vittima trasferendolo sul dispositivo di proprietà dell’attaccante e questo permette di ottenere informazioni sensibili come il numero di telefono o qualsiasi messaggio inviato per l’autenticazione multi-fattore.
Dopo aver ottenuto l’accesso ad ATLAS, gli hacker di Lapsus$ hanno anche tentato di compromettere gli account T-Mobile associati all’FBI e al Dipartimento della Difesa, ma non hanno avuto successo in quanto un ulteriore metodo di verifica è stato collegato a questi account.
“Diverse settimane fa, i nostri strumenti di monitoraggio hanno rilevato un cattivo attore che utilizzava credenziali rubate per accedere ai sistemi interni che ospitano software di strumenti operativi“, ha detto un portavoce di T-Mobile.
T-Mobile sostiene che nonostante i tentativi di accesso al sistema interno “Atlas“, nessuna informazione sensibile è trapelata. “I sistemi a cui si è avuto accesso non contenevano informazioni sui clienti o sul governo o altre informazioni sensibili simili, e non abbiamo prove che l’intruso sia stato in grado di ottenere qualcosa di valore“, ha aggiunto T-Mobile.
“I nostri sistemi e processi hanno funzionato come progettato, l’intrusione è stata rapidamente interrotta e chiusa, e le credenziali compromesse utilizzate sono state rese obsolete“.
Recentemente gli attacchi di Lapsus$ sono aumentati e prendono di mira principalmente il codice sorgente di grandi aziende tecnologiche come Microsoft, Samsung, Okta e Nvidia.
Gli attacchi portati da Lapsus$ non sono sofisticati, di solito iniziano con le credenziali rubate dai black markets ed a seguire un tentativo di bypassare l’autenticazione multi-fattore utilizzando schemi di social-engineering.
Nell’agosto 2021 T-Mobile ha subito un’altra violazione dei dati, dove sono stati rubati più di 40 milioni di dati dei clienti. L’account appartiene all’ex cliente o al potenziale cliente che ha fatto domanda di credito presso l’azienda.
I record del cliente erano in vendita nello stesso anno, i dati violati includono informazioni personali identificabili come – numeri di previdenza sociale, numeri di telefono e PIN di sicurezza.
