Um novo relatório afirma que o infame grupo de hackers, Lapsus$, invadiu os sistemas da T-Mobile algumas vezes em março deste ano. Lapsus$ já invadiu empresas como NVIDIA, Microsoft e Samsung.
O relatório vem de Krebs on Security (via Phone Arena), que adquiriu chats privados entre os principais membros do Lapsus$. Esses chats detalham o plano de ação do grupo. A maior parte dos membros do Lapsus$ está sob investigação ou está na prisão por crimes anteriores. Mas está claro que ainda existem alguns por aí à espreita nas sombras. O líder do Lapsus$ tem vários apelidos, incluindo “Lapsus Jobs”, “White”, “WhiteDoxbin” e “Oklaqq”.
No passado, a Lapsus$ comprava credenciais de fontes como o Russian Market. No entanto, esses sites não podem oferecer acesso completo às ferramentas internas de uma determinada empresa. O grupo tentou remediar isso visando diretamente os funcionários da T-Mobile, eventualmente violando o sistema da empresa em várias ocasiões.
Lapsus$ não conseguiu entrar no DOD dos EUA ou no FBI graças a medidas adicionais de verificação
Em 19 de março, o grupo acessou o Atlas, o software de gerenciamento de contas de clientes internos da operadora. O relatório afirma que o Lapsus$ até vasculhou contas da T-Mobile vinculadas ao Departamento de Defesa e ao Federal Bureau of Investigation (FBI). Felizmente, o grupo de hackers não pôde ir mais longe, pois essas contas tinham proteções de verificação para evitar alterações não autorizadas.
Lapsus$ então encerrou a conexão VPN, acessando posteriormente as contas Bitbucket e Slack da T-Mobile. Além disso, o líder do grupo baixou mais de 30.000 repositórios de código da operadora. Isso acionou os sistemas de segurança da T-Mobile, pois o acesso do grupo de hackers foi imediatamente revogado. “Clonar 30 mil recompras quatro vezes em 24 horas não é muito normal”, disse mais tarde o líder da Lapsus$.
A T-Mobile reconheceu esses ataques, mas sustentou que os hackers não poderiam roubar informações do governo ou de clientes.
“Várias semanas atrás, nossas ferramentas de monitoramento detectaram um agente mal-intencionado usando credenciais roubadas para acessar sistemas internos que abrigam software de ferramentas operacionais. Os sistemas acessados não continham informações de clientes ou do governo ou outras informações confidenciais semelhantes, e não temos evidências de que o invasor tenha conseguido obter algo de valor. Nossos sistemas e processos funcionaram conforme projetado, a intrusão foi rapidamente encerrada e fechada e as credenciais comprometidas usadas tornaram-se obsoletas”, disse a operadora ao Krebs on Security.
Este não é o primeiro ataque cibernético da T-Mobile, como a maioria dos clientes já sabe. Com grupos de hackers encontrando novas maneiras de violar as defesas das corporações, cabe a uma das principais operadoras de telefonia móvel da América garantir que não haja brechas.
