LAPSUS$ Хакеры украли исходный код T-Mobile, но ФБР обучило их и украло обратно

lapsus$ украл мобильный код ФБР украл новости
Некоторые недавние разоблачения киберпреступной деятельности стали плохими новостями для T-Mobile . После того, как государственные органы захватили RaidForums , популярный хакерский сайт, на котором продавали украденные данные, судебные протоколы показали, что T-Mobile пыталась выкупить украденные данные клиентов . Однако сделка пошла наперекосяк, когда воры нарушили условия соглашения, продолжив продавать данные. Теперь просочившиеся сообщения чата показывают, что LAPSUS$ украл исходный код T-Mobile.

LAPSUS$ была хакерской группой, которая недавно похитила исходный код ряда известных целей, включая NVIDIA , Samsung и Microsoft . Вскоре после этой серии громких краж данных британская полиция арестовали семь человек за причастность к хакерской группе. Все подозреваемые были в возрасте от 16 до 21 года. Лидеру, известному как «Белый», оказалось всего 16 лет, и он живет со своей матерью.

lapsus$ украл код мобильного телефона ФБР украл Atlas Dod News
Поиск LAPSUS$ по телефонным номерам T-Mobile, связанным с Министерством обороны.

Тем не менее, несмотря на то, что основные участники LAPSUS$ сейчас могут находиться за решеткой, подробности их подвигов еще не опубликованы. Просочившиеся сообщения чата, полученные Брайаном Кребсом, показывают, что LAPSUS$ взломал системы T-Mobile еще в марте. Хакерам неоднократно удавалось использовать методы социальной инженерии, чтобы заставить сотрудников T-Mobile предоставить компьютерам LAPSUS$ доступ к виртуальной частной сети компании (VPN).

LAPSUS$ использовал доступ к системам T-Mobile для выполнения атак с подменой SIM -карты , переназначая телефонные номера клиентов устройствам, контролируемым хакерами. Такие атаки дают злоумышленникам доступ к текстовым сообщениям жертв, которые до сих пор являются распространенным способом использования кодов многофакторной аутентификации. . В конце концов хакеры искали телефонные номера T-Mobile, связанные с ФБР и Министерством обороны, но для доступа к этим номерам требовались повышенные разрешения, недоступные для LAPSUS$.

lapsus$ украл мобильный код t ФБР украл новости Bitbucket
Репозиторий исходного кода Bitbucket T-Mobile, доступ к которому осуществляется через LAPSUS$

Вместо того, чтобы пытаться поменять SIM-карты правительственных телефонных номеров, LAPSUS$ вместо этого повернулся к краже исходного кода T-Mobile. Примерно за 12 часов LAPSUS$ загрузил 38 588 репозиториев кода T-Mobile. Однако, опасаясь, что полиция ворвется в их дома, хакеры никогда не хранили украденный исходный код ни на одном из своих серверов. LAPSUS$ вместо этого использует поставщиков виртуальных частных серверов (VPS) для хранения украденных данных.

Этот подход обернулся для LAPSUS$, когда ФБР захватило сервер Amazon Web Services (AWS), который группа использовала для хранения украденного кода T-Mobile. Сначала Уайт отклонил захват, пока другой участник не сообщил ему, что они никогда не делали резервную копию сервера, что вызвало обезумевший ответ от лидера группы. Хакеры отчаянно пытались повторно загрузить исходный код, но обнаружили, что их токен доступа больше не действителен. Уайт предположил, что Gitlab автоматически отозвал токен, отметив, что «клонирование 30 000 репозиториев четыре раза за 24 часа — это не совсем нормально».

Насколько нам известно, LAPSUS$ никогда не сливала исходный код T-Mobile благодаря ФБР. Тем не менее, тот факт, что хакерам-любителям удавалось неоднократно получать доступ к внутренним системам T-Mobile, вызывает беспокойство.

T-Mobile опубликовала следующее заявление в ответ на вопросы Кребса : « Несколько недель назад наши инструменты мониторинга обнаружили злоумышленника, использующего украденные учетные данные для доступа к внутренним системам, в которых размещено программное обеспечение операционных инструментов. Системы, к которым был получен доступ, не содержали информации о клиентах или правительстве или другой аналогичной конфиденциальной информации, и у нас нет доказательств того, что злоумышленник смог получить что-либо ценное. Наши системы и процессы работали в соответствии с проектом, вторжение было быстро остановлено и закрыто, а использованные скомпрометированные учетные данные оказались устаревшими.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал