LAPSUS$ ukradli zdrojáky i T-Mobilu, ovšem dostali školení od FBI
26.4.2022, Jan Vítek, aktualita
Pozoruhodná hackerská skupina LAPSUS$ dokázala úspěšně zaútočit již na řadu významných firem, a sice NVIDII, Samsung, Microsoft a nejnověji se dozvídáme o T-Mobile. Americká FBI však podnikla protiakci.
O skupině LAPSUS$ jsme psali již několikrát a naposledy to bylo ke konci března, když se britská policie už chystala zatknout některé její členy. Ti byli krátce na to skutečně zatčeni a šlo o o celkem sedm lidí ve věku 16 až 21 let, přičemž v jejich čele měla stát jen 16letá osoba s přezdívkou White.
Nyní se přitom dozvídáme, že právě během března se LAPSUS$ zaměřili také na společnost T-Mobile a i v jejím případě byli schopni s využitím exploitů i sociálního inženýrství proniknout do jejích systémů. Především tu mělo jít o dopad nepozornosti či lajdáctví zaměstnanců T-Mobilu, kteří sami skupině LAPSUS$ dobrovolně a hned několikrát poskytli přístup do firemní VPN. Ta toho pochopitelně využila, přičemž tu nešlo jen o starou dobrou krádež citlivých či jinak důležitých dat s následným vydíráním.
Díky průniku do systémů mobilního operátora mohli lidé z LAPSUS$ využít tzv. SIM swap attack, čili přesměrování zpráv na jiná čísla, což skýtá řadu možností spojených především s dvoufázovým ověřením přístupu a z tohoto hlediska je to především velká ostuda společnosti T-Mobile. Tímto způsobem by totiž útočníci mohli i vysávat bankovní účty či rovnou krást identity.
Vedle toho zkoušeli členové LAPSUS$ v systémech T-Mobilu vyhledat i čísla lidí z americké FBI či Ministerstva obrany, nicméně pro to by už potřebovali vyšší práva, než jaká se jim povedlo získat. Vysloužili si tím ovšem ještě větší pozornost FBI a mezitím se rozhodli alespoň ukrást různé zdrojové kódy firmy T-Mobile pro obvyklé pokusy o vydírání.
Běžnou praxí skupiny LAPSUS$ bylo ovšem to, že z obav před policií neukládali ukradená data u sebe doma. Využívali služeb poskytovatelů VPS (Virtual Private Server), jako je konkrétně Amazon Web Services (AWS). Ovšem FBI se podařilo zajistit právě ten virtuální server u AWS, na němž byla uložena data od T-Mobile, přičemž nikdo z LAPSUS$ se neobtěžoval provést zálohu na jiném místě.
Následný pokus o opětovné stáhnutí dat ze serverů T-Mobile nevyšel, neboť přístupové údaje už nefungovaly, a tak nakonec ani nevyšlo vydírání společnosti T-Mobile, která přitom dle starší zprávy byla už dříve ochotna hackerům platit. Společnost T-Mobile přitom ve svém vyjádření mluví o ukradených přístupových údajích, s jejichž pomocí byla získána jistá data, ovšem žádná, která by se týkala zákazníků i z řad vládních činitelů. Firemní systémy na průnik prý zareagovaly tak, jak měly, čili v dalším přístupu bylo rychle zamezeno. To svým způsobem odpovídá výše řečenému, jen se nedozvídáme o hackery udávaném ostudném způsobu získání přístupových údajů a ukradených zdrojových kódech.
Zdroj: Hot Hardware