Lapsus$ギャングはかつてFBIデータを盗むためにTモバイルオペレーターを標的にしました
警察が3月下旬にLapsus$ランサムウェアギャングを逮捕する前に、グループはT-Mobileのソースコードに侵入することに成功しました。
ドイツに本拠を置く通信大手は、サーバーが攻撃されたことを確認したが、顧客、政府、またはその他の同様の機密情報がアクセスまたは盗まれたことはないと主張した。
The Vergeのセキュリティジャーナリスト、ブライアン・クレブス(Brian Krebs)が最初に報じたのは、プライベートテレグラムメッセージのスクリーンショットを共有し、Lapsus$がオペレーターを数回標的にしたことを示唆している。
「数週間前、当社の監視ツールは、盗まれた資格情報を使用して、運用ツールソフトウェアを収容する内部システムにアクセスする悪意のあるアクターを検出しました」とT-Mobileは声明で述べています。
「当社のシステムとプロセスは設計どおりに機能し、侵入はすぐにシャットダウンおよびシャットダウンされ、使用された侵害された資格情報は時代遅れになりました。アクセスされるシステムには、顧客や政府の情報、またはその他の同様の機密情報は含まれていません。
注目すべきは、Lapsus$はT-Mobileの防御を損なわなかった。しかし、代わりに、彼らはロシア市場などのウェブサイトで盗まれた従業員の資格情報を購入することによってT-Mobileの内部ツールにアクセスしました。
ランサムウェアギャングはその後、一連のSIM交換攻撃を実行しました。通常、これには、ハッカーが所有するデバイスに番号を転送してターゲットの電話をハイジャックすることが含まれます。
さらに、そのアクセスを使用して、パスワードリセットへのリンクや多要素認証用のワンタイムコードなど、SMSメッセージを傍受することができます。
一部のLapsus$メンバーは、FBIと国防総省に関連するT-Mobileアカウントをハッキングするためにアクセスを使用しようとしましたが、アカウントに関連する追加の検証措置のためにそうしませんでした。
4月25日(月)にEngadgetを発売すると、ハッカーが近年T-Mobileを標的にしていることが知られています。
昨年8月、同社は5400万人以上の顧客の個人データが侵害されたハッキングの犠牲になったことを確認した。この侵害にはSIM交換攻撃も含まれており、オペレーターが第三者企業に秘密裏に損害を制限するために支払いをしているのを見ることさえあります。