安全博客KrebsonSecurity报道,因黑入Nvidia、微软、三星闻名的黑客组织Lapsus$,也曾黑入美国电信企业T-Mobile,并窃取多个项目的程序代码。
KrebsonSecurity是取得Lapsus$核心成员通过Telegram非公开频道三月底当周一个星期的通信内容,等于是这个组织核心落网前犯下的最后大案之一。
Lapsus$通过当地下网站购买或是在网上吸收知名目标企业员工,以取得这些公司内部系统的合法登录帐密。根据这些通信记录,Lapsus$多次使用T-Mobile员工帐密登录公司VPN或是重要系统,包括3月19日登录管理广大电信用户账号的Atlas系统。利用取得这些账号资料,他们得以或发动SIM Swap攻击,使其得以假冒用户申请换新SIM卡,以便将用户电话号码移到黑客持有的设备,借此拦截银行帐密或其他重要资料。
通话内容显示,名为White的黑客成功登录T-Mobile的Slack及Bitbucket账号,也知道如何上传文件到T-Mobile的虚拟机,同时曾计划利用这招劫持美国政府FBI及国防部用户的电话账号,但未成功。最后,这名黑客贴出已利用自动script下载T-Mobile 3万个程序代码存储库的屏幕截图。
图片来源/KrebsonSecurity
T-Mobile向KrebsonSecurity证实,几个星期前该公司安全工具侦测到,有人利用被窃的登录凭证访问存储运营工具软件的内部系统。
不过T-Mobile表示,所有系统及防护确实运行,使攻击者很快就被封锁并注销系统,被窃的凭证也都被废除,因此没有客户或政府资讯外泄,他们也未发现黑客取得了任何有价值的资讯。
去年底T-Mobile坦承其某些内部账号出现未经授权的攻击行动,可能导致客户专用网络资讯(CPNI)被访问或是对客户进行SIM卡挟持(SIM Swapping)攻击。但这此攻击是否为Lapsus$所为则不得而知。
T-Mobile被黑并不令人意外,因为Lapsus$曾以每周2万美元为代价,公开征求AT&T、T-Mobile及Verizon员工作为攻击行动内应。
英国警方三月逮捕7名疑涉入Lapsus$ 的青少年,并在4月初控告其中二名16岁及17岁的青少年。