T-Mobile证实Lapsus$入侵其系统

电信公司 T-Mobile 周五透露，LAPSUS$ 敲诈团伙获得了访问其网络的权限。

广受欢迎的调查员兼记者 Brian Krebs 在查看了网络犯罪集团成员之间的私人聊天消息副本后，首先推测LAPSUS$ 团伙已经入侵了 T-Mobile。

据说用于初始访问的 VPN 凭据是从俄罗斯市场等非法网站获得的，目的是获得对 T-Mobile 员工账户的控制权，最终允许攻击者随意进行 SIM 交换攻击 。

“ LAPSUS$ 面临的更大挑战是上面截图中“Lapsus Jobs”提到的主题：设备注册。在大多数情况下，这涉及目标公司的社会工程员工将他们的一台计算机或手机添加到允许通过公司的虚拟专用网络 (VPN) 进行身份验证的设备列表中。” 克雷布斯写道。“这些消息显示，LAPSUS$ 成员不断针对 T-Mobile 员工，他们使用公司内部工具可以为他们提供进行无忧“ SIM 交换”所需的一切——将目标的手机号码重新分配给他们控制的设备。”

“访问的系统不包含客户或政府信息或其他类似的敏感信息，我们没有证据表明入侵者能够获得任何有价值的东西，”T-Mobile 说。“我们的系统和流程按设计运行，入侵被迅速关闭和关闭，使用的受损凭证已过时。”

该团伙从暗网市场获得了初始访问目标系统的 VPN 凭据，然后使用该访问权限执行 SIM 交换攻击。

“也许是为了安抚他愤怒的队友，怀特改变了话题，告诉他们他已经获得了 T-Mobile 的 Slack 和 Bitbucket 账户的访问权限。他说他已经想出了如何将文件上传到他在 T-Mobile 可以访问的虚拟机。” 克雷布斯写道。“大约 12 小时后，White 在他们的私人聊天中发布了一张截图，显示他的自动脚本已经从 T-Mobile 下载了 30,000 多个源代码存储库。”

在过去的几个月里，Lapsus$ 团伙入侵了许多知名公司，例如 NVIDIA 、 三星、 育碧、Mercado Libre、 沃达丰、微软、  Okta和Globant。

4 月初，伦敦市警方指控了因涉嫌参与 LAPSUS$ 数据勒索团伙而被捕的七名青少年中的两名。英国警方怀疑一名来自牛津的 16 岁少年是广受欢迎的 Lapsus$ 组织的领导人之一。

原文来自: securityaffairs.co