Le groupe de piratage Lapsus$ a fait une autre victime : le géant américain des télécoms T-Mobile.
Le dernier incident de sécurité de T-Mobile – la septième violation de données au cours des quatre dernières années – a été révélé pour la première fois par le journaliste de sécurité Brian Krebs, qui a obtenu une semaine de messages de chat privés entre les principaux membres de Lapsus $, un groupe de piratage et d’extorsion qui a gagné notoriété ces derniers mois après avoir ciblé les géants de la tech Nvidia, Ubisoft et Okta. Les messages obtenus par Krebs ont été envoyés sur une chaîne privée Telegram au cours de la semaine précédant l’arrestation des membres les plus actifs du gang en mars. Au moins deux membres de Lapsus$ — un jeune de 16 ans et un jeune de 17 ans — ont par la suite été accusés de multiples cyberdélits.
Les messages montrent que Lapsus$ a eu accès au réseau de T-Mobile en compromettant les comptes des employés, soit en achetant des identifiants divulgués, soit par ingénierie sociale. Cela a donné à Lapsus$ l’accès aux outils internes de T-Mobile, y compris Atlas, utilisé pour gérer les comptes clients, que les pirates ont utilisés pour tenter de trouver des comptes T-Mobile associés au FBI et au ministère de la Défense, mais ont été bloqués car l’accès était nécessaire. vérifications supplémentaires.
Grâce à cet accès au compte des employés, les pirates étaient en mesure de mener des attaques par échange de carte SIM, où les pirates réattribuent le numéro de téléphone portable d’une cible à un appareil sous leur contrôle, ce qui permet ensuite l’interception d’appels téléphoniques et de SMS qui peuvent être utilisé pour s’introduire davantage dans les comptes d’une victime et également obtenir des codes d’authentification à deux facteurs.
T-Mobile n’a pas répondu aux multiples demandes de commentaires, mais a déclaré aux médias qu'”aucune information client ou gouvernementale” n’avait été consultée pendant l’incident.
Cependant, Krebs rapporte que les pirates ont pu voler le code source d’une série de projets d’entreprise, tout comme le groupe l’avait fait avec Samsung, Microsoft et Globant.
“Il y a plusieurs semaines, nos outils de surveillance ont détecté un acteur malveillant utilisant des informations d’identification volées pour accéder aux systèmes internes qui hébergent des logiciels d’outils opérationnels”, indique le communiqué de la société. “Nos systèmes et processus ont fonctionné comme prévu, l’intrusion a été rapidement arrêtée et fermée, et les informations d’identification compromises utilisées sont devenues obsolètes.”
T-Mobile a confirmé six autres violations de données antérieures depuis 2018. En août dernier, le géant des télécommunications a admis qu’au moins 47 millions de clients s’étaient fait voler des données de compte en tant que violation massive de données. Les pirates ont accédé aux données personnelles appartenant à 7,8 millions de clients postpayés actuels, y compris les dates de naissance et la sécurité sociale, et les pirates ont également accédé aux dossiers de 40 millions d’anciens et potentiels clients.
