La banda de ciberdelincuentes Lapsus$ comprometió los sistemas de la red móvil estadounidense T-Mobile y supuestamente intentó robar el código fuente relacionado con varios productos en los días inmediatamente anteriores a los arrestos de varios miembros, según ha trascendido.
Los registros de chat privados de Telegram de la pandilla, que se filtraron a Brian Krebs de KrebsOnSecurity, muestran cómo Lapsus $ compró credenciales de empleados de T-Mobile comprometidas en sitios clandestinos como Russian Market, que usaron para realizar ataques de intercambio de SIM.
Un intercambio de SIM es un tipo de ataque cibernético en el que se convence a un operador de telefonía móvil para que cambie el número de teléfono de un dispositivo objetivo a un nuevo dispositivo, dando a los nuevos propietarios acceso a la información almacenada en el dispositivo del propietario original, como datos bancarios o de crédito. detalles de la tarjeta y permitiéndoles hacerse cargo de otras cuentas al restablecer las credenciales. Tales ataques se implementan con bastante frecuencia para robar criptomonedas.
Krebs, un periodista de investigación independiente, informó que la pandilla usó su influencia para acceder a la herramienta de administración de clientes de T-Mobile, Atlas, y desde allí intentó acceder a cuentas asociadas con organismos y agencias gubernamentales de EE. UU., incluido el FBI. Esto provocó discusiones entre los miembros preocupados por haber ido demasiado lejos, lo que parece haber dado lugar a que el cabecilla del grupo, que se hacía llamar White, girara para robar el código fuente.
Los registros de chat filtrados también revelan una idea de la mentalidad de los adolescentes que componían la pandilla, con uno, pasando por el mango mox, expresando su disgusto porque su escuela estaba llena de conversaciones sobre Lapsus $, pero que no podía decirle a nadie que estaba involucrado.
Se vio a otro pandillero que usaba el identificador de Amtrak pidiéndole a White que ocultara la información de T-Mobile porque sus padres sabían que había intercambiado tarjetas SIM en el pasado y no querían meterse en problemas.
Más evidencia contenida en los registros de chat de la pandilla indica que Amtrak fue intimidado y luego engañado por White. La pandilla parece haber estado dividida por luchas internas, lo que en última instancia puede haber contribuido a su caída.
Se cree que White es uno de los dos adolescentes acusados por la ola de hackeo de Lapsus$ por parte de la policía de la ciudad de Londres, aunque esto no ha sido y no puede ser confirmado formalmente debido a su edad.
En un comunicado distribuido a los medios, un portavoz de la operación de T-Mobile en EE. UU. dijo: “Hace varias semanas, nuestras herramientas de monitoreo detectaron a un malhechor que usaba credenciales robadas para acceder a sistemas internos que albergan software de herramientas operativas.
“Los sistemas a los que se accedió no contenían información de clientes o del gobierno u otra información sensible similar, y no tenemos evidencia de que el intruso haya podido obtener algo de valor. Nuestros sistemas y procesos funcionaron según lo diseñado, la intrusión se apagó y cerró rápidamente, y las credenciales comprometidas utilizadas quedaron obsoletas”.
No se cree que el ataque a T-Mobile haya tenido ningún impacto en la antigua operación de la organización en el Reino Unido, que se incorporó a la red móvil de EE hace más de una década y ahora no tiene una relación significativa con su antigua matriz, Deutsche Telekom, que sí lo hace. sin embargo, tiene una participación en los propietarios actuales de EE, BT.
Lapsus$ saltó a la fama a principios de 2022, gracias a una serie de ataques de alto perfil contra empresas tecnológicas como Nvidia, Samsung, Ubisoft, Okta y Microsoft. Al principio, se pensó erróneamente que la pandilla era una pandilla de ransomware, pero no parece haber implementado nunca ransomware en ninguno de sus objetivos, prefiriendo simplemente filtrar y filtrar datos mientras exigía un pago, en lugar de cifrarlo.