Il gruppo Lapsus$ ha rubato il codice sorgente di T-Mobile, prima dell’arresto di sette teenager effettuato dalla polizia di Londra. La conferma arriva da alcuni screenshot di una chat Telegram pubblicati da Brian Krebs. L’operatore telefonico statunitense ha dichiarato che non è stato sottratto nessun dato degli utenti.
Settimo data breach in quattro anni per T-Mobile
Fin dall’inizio delle attività a dicembre 2021, il gruppo Lapsus$ ha pubblicizzato gli attacchi attraverso un canale Telegram con oltre 40.000 follower. Il coordinamento tra i membri della gang avveniva invece mediante un gruppo privato. Gli screenshot ricevuti da Brian Krebs svelano i dettagli di una serie di attacchi contro T-Mobile effettuati a marzo.
L’accesso iniziale alla rete interna è avvenuto con le credenziali di login di un dipendente acquistate nel dark web. Dopo aver ottenuto l’accesso ad Atlas, un tool per la gestione degli account degli utenti, i cybercriminali hanno effettuato vari attacchi “SIM swap” per riassegnare il numero di telefono al dispositivo controllato, sul quale arrivavano gli SMS per il reset delle password e i codici dell’autenticazione multi-fattore.
Il gruppo ha tentato anche di accedere agli account T-Mobile dell’FBI e del Dipartimento di Difesa, ma senza successo perché erano necessarie procedure di verifica aggiuntive. La gang ha successivamente ottenuto l’accesso agli account Slack e Bitbucket dell’operatore telefonico. Uno degli screenshot mostra il download di oltre 30.000 repository di codice sorgente.
T-Mobile ha confermato il furto delle credenziali di login e l’accesso ai sistemi interni. Tuttavia non sono state rubate informazioni sensibili dei clienti, né altri dati di valore. Per l’azienda si tratta comunque della settima intrusione negli ultimi quattro anni. Tutti gli attacchi del gruppo Lapsus$ sono stati effettuati a scopo di estorsione. Tra le vittime recenti ci sono NVIDIA, Samsung, Microsoft, Okta, Globant, Vodafone e Ubisoft.