T-Mobile证实,勒索集团Lapsus$几周前就获得了系统的访问权限。
这家电信巨头对记者的报道做出了回应,他从Lapsus$ 团伙核心成员的私人Telegram频道中获取了内部聊天记录。该公司补充说,它目前已经通过阻止黑客对其网络的群组访问来缓解这一漏洞,并禁用了在此次攻击中被盗的凭证。
Lapsus$是一个网络黑客组织,它在2021年2月对巴西卫生部发动勒索软件攻击时崭露头角,他们泄露了COVID 19的数百万人的疫苗接种数据。最近,在3月,伦敦市警方逮捕了7名与该团伙有关的人。
记者发现的私人聊天记录显示,Lapsus$ 黑客组织在俄罗斯地下市场等非法平台上找到了T-Mobile的内部VPN登录凭证。使用这些凭证,Lapsus$成员可以使用如 Atlas等 T-Mobile内部管理客户账户的工具。这将有助于他们进行Sim-Swapping攻击。在这种攻击中,黑客通过将受害者的号码转移到攻击者所拥有的设备上进行劫持,这使得黑客能够获得到敏感的信息,比如电话号码或其他任何多因素认证发送的信息。
在获得ATLAS的访问权后,Lapsus$黑客还试图破坏与联邦调查局和国防部相关的T-Mobile账户,但没有成功,因为这些账户还有一个额外的验证方法与之相关联。
T-Mobile公司的一位发言人说,几周前,我们的监控工具检测到了一个恶意攻击者使用偷来的凭证来访问存放操作工具软件的内部系统。
T-Mobile表示,尽管会有人试图访问内部系统 "Atlas",但此次并没有敏感信息被泄露。T-Mobile发言人补充说,被访问的系统不包含客户或政府信息以及其他类似的敏感信息,我们没有证据表明入侵者获得了任何有价值的东西。我们的系统和流程目前正在正常运行,入侵者所使用的凭证现在已被淘汰。
最近Lapsus$攻击增多,他们主要针对微软、三星、Okta和Nvidia等大型技术公司进行攻击。
Lapsus$进行的攻击并不复杂,通常是使用从地下市场(如俄罗斯市场)窃取的凭证来发起的,然后使用社会工程学攻击来绕过多因素认证。
一位研究LAPSUS$的安全专家说,他们迫使我们改变了对内部人员访问权限的设定。有国家背景的黑客组织要的是长期的、战略性的访问权限,但是勒索软件集团要的是进行横向移动。有专家在2022年3月24日的一条推文中说,目前我们还没有优化防御系统。
各个组织应该做好安全准备,防止像Lapsus$这样团体进行网络攻击,Lapsus$针对组织进行攻击的非常规技术也可能会被其他团体所效仿。企业内部的威胁被Lapsus$再次带入到人们的视线中,并迫使组织思考它所面对的真正挑战。
安全研究员说,像Lapsus$这样的网络威胁是不会消失的。网络攻击不仅有很多钱可以赚,而且还可以获得很大的网络影响力。
多年来对T-Mobile的几次攻击
自2018年以来,T-Mobile就遭受了六次不同规模的数据泄露。2018年,一个被泄漏的API导致230万客户的数据被泄露。一年后的2019年,126万名预付费者也受到了漏洞的影响。
2021年8月,T-Mobile又遭遇了数据泄露,超过4000万的账户数据被盗。该账户是在该公司申请过信贷的前客户或潜在客户。
该客户的记录在同一年被出售,被泄露的数据还包括了众多个人身份信息,如社会安全号码、电话号码和安全密码等。