El grupo de hackers Lapsus$ se ha cobrado otra víctima: el gigante estadounidense de telecomunicaciones T-Mobile.
El último incidente de seguridad de T-Mobile, la séptima violación de datos en los últimos cuatro años, fue revelado por primera vez por el periodista de seguridad Brian Krebs, quien obtuvo una semana de mensajes de chat privados entre los miembros principales de Lapsus$, un grupo de piratería y extorsión que ganó notoriedad en los últimos meses después de apuntar a los gigantes tecnológicos Nvidia, Ubisoft y Okta. Los mensajes obtenidos por Krebs fueron enviados en un canal privado de Telegram durante la semana previa a las detenciones de los miembros más activos de la pandilla en marzo. Posteriormente, al menos dos miembros de Lapsus$, uno de 16 y otro de 17, fueron acusados de múltiples delitos cibernéticos.
Los mensajes muestran que Lapsus$ tuvo acceso a la red de T-Mobile al comprometer las cuentas de los empleados, ya sea comprando credenciales filtradas o mediante ingeniería social. Esto le dio a Lapsus$ acceso a las herramientas internas de T-Mobile, incluido Atlas, que se usa para administrar las cuentas de los clientes, que los piratas informáticos usaron en un intento de encontrar cuentas de T-Mobile asociadas con el FBI y el Departamento de Defensa, pero fueron bloqueadas porque el acceso era necesario. controles adicionales.
A través de este acceso a la cuenta del empleado, los piratas informáticos estaban en condiciones de llevar a cabo ataques de intercambio de SIM, donde los piratas informáticos reasignan el número de teléfono celular de un objetivo a un dispositivo bajo su control, lo que luego permite la interceptación de llamadas telefónicas y mensajes de texto que pueden ser se utiliza para acceder aún más a las cuentas de una víctima y también obtener códigos de autenticación de dos factores.
T-Mobile no respondió a múltiples solicitudes de comentarios, pero dijo a los medios de comunicación que “no se accedió a información del cliente o del gobierno” durante el incidente.
Sin embargo, Krebs informa que los piratas informáticos pudieron robar el código fuente de una variedad de proyectos de la empresa, tal como lo había hecho el grupo con Samsung, Microsoft y Globant.
“Hace varias semanas, nuestras herramientas de monitoreo detectaron a un malhechor que usaba credenciales robadas para acceder a sistemas internos que albergan software de herramientas operativas”, dice el comunicado de la compañía. “Nuestros sistemas y procesos funcionaron según lo diseñado, la intrusión se apagó y cerró rápidamente, y las credenciales comprometidas utilizadas quedaron obsoletas”.
T-Mobile ha confirmado otras seis violaciones de datos anteriores desde 2018. En agosto pasado, el gigante de las telecomunicaciones admitió que al menos a 47 millones de clientes les robaron datos de cuentas como una violación de datos masiva. Los piratas informáticos accedieron a datos personales pertenecientes a 7,8 millones de clientes de pospago actuales, incluidas las fechas de nacimiento y la seguridad social, y también accedieron a los registros de 40 millones de clientes anteriores y potenciales.