T-Mobile证实,勒索组织Lapsus$几周前获得了该系统的访问权限。这家电信巨头回应记者的报道称,他从Lapsus$团伙核心成员的私人Telegram频道获得了内部聊天记录。该公司补充说,它现在已经通过阻止黑客团体访问其网络并禁用在攻击中窃取的凭据来缓解漏洞。Lapsus$是一个网络黑客组织,在2021年2月对巴西卫生部发起勒索软件攻击时声名鹊起,他们在那里泄露了数百万人的COVID19疫苗接种数据。最近,在3月,伦敦金融城警方逮捕了七名与该团伙有关的人。记者发现的私人聊天记录显示,Lapsus$黑客组织在俄罗斯地下市场等非法平台上发现了T-Mobile的内部VPN登录凭据。使用这些凭据,Lapsus$会员可以使用T-Mobile的内部工具(例如Atlas)来管理客户帐户。这将有助于他们进行Sim-Swapping攻击。在这种攻击中,黑客通过将号码转移到攻击者拥有的设备上来劫持受害者,这使黑客能够获取敏感信息,例如电话号码或通过多因素身份验证发送的任何其他信息。在获得ATLAS的访问权限后,Lapsus$黑客还试图破坏与FBI和国防部相关的T-Mobile帐户,但没有成功,因为这些帐户有一种与之相关的额外验证方法。T-Mobile发言人表示,几周前,我们的监控工具检测到恶意攻击者使用窃取的凭据来访问包含操作工具软件的内部系统。T-Mobile表示这次没有泄露任何敏感信息,尽管有人试图访问其内部系统“Atlas”。T-Mobile发言人补充说,被访问的系统不包含客户或政府信息或其他类似的敏感信息,我们没有证据表明入侵者获得了任何有价值的东西。我们的系统和流程目前运行正常,入侵者使用的凭据现已过时。Lapsus$攻击近期有所增加,主要针对微软、三星、Okta、Nvidia等大型科技公司。Lapsus$进行的攻击并不复杂,通常使用从地下市场(例如俄罗斯市场)窃取的凭据发起,然后使用社会工程攻击绕过多因素身份验证。一位从事LAPSUS$工作的安全专家表示,他们强迫我们更改内部访问设置。国家支持的黑客组织想要长期的、战略性的访问,但勒索软件组织想要横向移动。有专家在2022年3月24日的推文中表示,目前我们还没有对防御系统进行优化。组织应该做好安全准备,以防止像Lapsus$这样的组织发动网络攻击,其他组织也可能效仿其针对组织的非常规技术。Lapsus$将企业内部的威胁重新置于聚光灯下,并迫使组织思考其面临的真正挑战。安全研究员表示,像Lapsus$这样的网络威胁并没有消失。网络攻击不仅可以赚很多钱,还可以获得很多网络影响力。多年来对T-Mobile的多次攻击自2018年以来,T-Mobile遭受了六次不同规模的数据泄露。2018年,泄露的API暴露了230万客户的数据。一年后的2019年,126万预付款人也受到了违规影响。2021年8月,T-Mobile再次遭遇数据泄露,超过4000万账户数据被盗。该帐户是已向公司申请信贷的前客户或潜在客户。客户的记录在同年被出售,泄露的数据还包括大量个人身份信息,例如社会安全号码、电话号码和安全密码。本文翻译自:https://threatpost.com/lapsus-hackers-target-t-mobile/179384/如有转载请注明出处。
