ИБ-специалист выяснил, что еще до арестов хак-группа Lapsus$ успела скомпрометировать телеком-гиганта T-Mobile. В компании подтвердили эту информацию, сообщив, что несколько недель назад хакеры проникли в сеть компании, получили доступ к внутренним инструментам и исходным кодам. Подчеркивается, что при этом злоумышленники не сумели похитить конфиденциальную информацию о клиентах T-Mobile.
О взломе T-Mobile сообщил известный журналист-расследователь Брайан Кребс, который уже много лет специализируется на информационной безопасности и не раз разоблачал различные хак-группы и помогал правоохранителям в их расследованиях.
Кребс, в руки которого попали приватные чаты участников группы, пишет, что атака на T-Mobile произошла некоторое время назад, еще до арестов семи предполагаемых участников Lapsus$, о которых правоохранительные органы Великобритании сообщили в конце марта 2022 года.
Судя по логам чатов, учетные данные VPN, которые группа использовала для первоначального доступа, приобретались и находились в даркнете, на таких сайтах как Russian Market. Целью злоумышленников была компрометация учетных записей сотрудников T-Mobile, что в конечном итоге позволяло им проводить SIM-swap атаки.
«Когда Lapsus$ теряли доступ к учетной записи сотрудника T-Mobile (из-за того, что сотрудник пытался войти в систему или изменить свой пароль), они просто находили или покупали другой набор учетных данных для T-Mobile VPN. В настоящее время в T-Mobile работает около 75 000 сотрудников по всему миру», — отмечает Кребс.
Помимо доступа к внутреннему инструменту для управления учетными записями клиентов под названием Atlas, судя по обсуждениям хакеров, они получили доступ к аккаунтам Slack и Bitbucket, используя последний для скачивания 30 000 репозиториев с исходным кодом.
При этом в Atlas хакеры и вовсе искали учетные записи T-Mobile, связанные с ФБР и Министерством обороны США (см. скриншот ниже). К их разочарованию оказалось, что для работы с такими учетными записями нужны дополнительные процедуры верификации.
Любопытно, что после неудачи с учтенными записями ФБР и других спецслужб, лидер группы, 17-летний подросток из Великобритании, известный под никами White, WhiteDoxbin и Oklaqq, сообщил другим хакерам, что нужно сосредоточить усилия на хищении исходных кодов и разорвать VPN-соединение с Atlas, которое WhiteDoxbin счел «мусором». Другие участники группы были крайне недовольным этим решением.
После публикации статьи Кребса представители T-Mobile подтвердили факт взлома. В компании заявили:
«Несколько недель назад наши инструменты для мониторинга обнаружили злоумышленника, использующего украденные учетные данные для доступа к внутренним системам, в которых размещались оперативные инструменты. Системы, к которым был получен доступ, не содержали информации о клиентах, правительственных организациях или другой конфиденциальной информации, а также у нас нет никаких доказательств того, что злоумышленник смог получить что-либо ценное. Наши системы и процессы работали в штатном режиме, атака была быстро остановлено и купирована, а использованные скомпрометированные учетные данные были выведены из употребления».
Напомню, что более подробно об этой странной хак-группе, которая шантажировала Nvidia, слила исходные коды Ubisoft, Microsoft и Samsung, скомпрометировала Okta, но при этом слава для хакеров явно была важнее финансовой выгоды, можно почитать в отдельной статье, которую мы посвятили Lapsus$ в прошлом месяце.
