Хакерская группа, известная как Lapsus$, была связана с кибератаками на Microsoft, Nvidia и Samsung, среди прочего, до того, как основные члены группы были арестованы. С тех пор новые текстовые сообщения, якобы отправленные членами хакерских групп, предполагают, что телекоммуникационная компания T-Mobile также была целью, и группа успешно украла исходный код. Однако также то, что ФБР вмешалось и заблокировало группу на собственных арендованных серверах, прежде чем они смогли что-либо сделать с данными.
Блог безопасности KrebsOnSecurity, написанный журналистом Брайаном Кребсом, сообщает, что получил журналы обсуждений в Telegram между основными членами Lapsus$, в которых упоминается взлом T-Mobile и последующий захват.
«FFS, ЧТО У AWS БЫЛА TMO SRC [T-Mobile source code] код!», — как говорят, упомянул член группы, известный как Уайт, после захвата.
Вскоре после этого Уайт был арестован полицией лондонского Сити, и, как сообщается, ему было 16 лет из Оксфорда, Великобритания. Другие граждане Великобритании в возрасте от 15 до 21 года также были арестованы и предположительно связаны с группой.
Говорят, что Lapsus$ предпочитает загружать украденные данные в облако и на арендованные серверы, чтобы снизить риск полицейских рейдов в домах участников с целью обнаружения какой-либо украденной информации. Однако этот план не сработал, поскольку удаленный контент был обнаружен ФБР.
Предполагается, что хакерская группа снова попыталась взломать системы T-Mobile и загрузить украденные данные, однако обнаружила, что не может восстановить доступ с помощью токенов доступа. Сообщается, что эти токены были куплены онлайн у онлайн-эквивалента человека в глухом переулке, открывающего большой плащ, но система может автоматически аннулировать доступ к ним, когда большие репозитории были загружены много раз за короткий период.
«Клонирование 30 000 репозиториев четыре раза за 24 часа — это не совсем нормально», — сказал Уайт.
С тех пор T-Mobile подтвердила, что инцидент имел место, но говорит, что в этом случае хакеры не украли ничего ценного.
«Несколько недель назад наши инструменты мониторинга обнаружили злоумышленника, использующего украденные учетные данные для доступа к внутренним системам, в которых размещено программное обеспечение операционных инструментов», — сообщает T-Mobile. «Системы, к которым был получен доступ, не содержали информации о клиентах или правительстве или другой аналогичной конфиденциальной информации, и у нас нет доказательств того, что злоумышленник смог получить что-либо ценное. и использованные скомпрометированные учетные данные устарели».
В конечном счете, похоже, что падение арестованных членов Lapsus$ могло быть ускорено распрями и ответными действиями со стороны других гнусных деятелей. Первоначальные отчеты об арестах вместе с Кребсом из службы безопасности предполагают, что в разное время Уайт ссорился с членом группы и пытался раскрыть их личность. В то время как Уайт был точно так же доксирован группой коллег-доксеров на док-сайте, который он сам запускал под названием Doxbin после того, как он сам доксировал пользователей сайта.
Первоначальный владелец этого веб-сайта, киберпреступник под псевдонимом «KT», как сообщается, является человеком, который передал журналы личных чатов в KrebsOnSecurity. Что посеешь, то и пожнешь, я полагаю. И в этом случае оказывается, что в конце концов ФБР и полиция постучали в дверь.
