LAPSUS$ wurde anscheinend von einer Gruppe Teenager betrieben und seine aktivsten Mitglieder sitzen jetzt hinter Gittern. Krebs über Sicherheit eine Woche lang private Chats zwischen wichtigen LAPSUS$-Mitgliedern erhalten, die einen Einblick in ihre Vorgehensweise geben.
Sie haben T-Mobile-Mitarbeiter unerbittlich ins Visier genommen und konnten im vergangenen Monat mehrmals in das System des Netzbetreibers eindringen und ihnen Zugriff auf den Quellcode für eine Reihe von Projekten verschaffen. Die Schurkengruppe erwog kurz SIM-Swaps, die es ihnen ermöglicht hätten, die Nummer einer anderen Person zu kapern, was es ihnen ermöglicht hätte, Aktivitäten wie das Zurücksetzen von Passwörtern durchzuführen.
LAPSUS$ erhielt am 19. März Zugriff auf das interne Kundenkontenverwaltungstool Atlas und erkundete hochkarätige T-Mobile-Konten, die mit dem FBI und dem Verteidigungsministerium in Verbindung stehen. Sie konnten nicht weiter gehen, da diese Konten zusätzliche Überprüfungen erforderten, bevor Änderungen vorgenommen werden konnten.
Außerdem konnte er über 30.000 Quellcode-Repositories von T-Mobile herunterladen. Es sieht so aus, als wurde ihnen der Zugriff entzogen, denn mit den Worten von White: „Das Klonen von 30.000 Repos viermal in 24 Stunden ist nicht sehr normal.“
LAPSUS$ hatte möglicherweise die Absicht, hochkarätige T-Mobile-Konten anzusprechen
T-Mobile hat die Angriffe bestätigt, aber versichert, dass die Hacker keine Kunden- oder Regierungsinformationen stehlen konnten.
Vor einigen Wochen haben unsere Überwachungstools einen böswilligen Akteur entdeckt, der gestohlene Zugangsdaten verwendet hat, um auf interne Systeme zuzugreifen, die operative Tools enthalten. Die Systeme, auf die zugegriffen wurde, enthielten keine Kunden- oder Regierungsinformationen oder andere ähnlich sensible Informationen, und wir haben keine Beweise dafür, dass der Eindringling in der Lage war, etwas Wertvolles zu erlangen. Unsere Systeme und Prozesse funktionierten wie vorgesehen, das Eindringen wurde schnell abgeschaltet und abgewehrt, und die verwendeten kompromittierten Zugangsdaten wurden hinfällig.