Chats zeigen: LAPSUS$ hatte wohl auch T-Mobile mehrfach gehackt

Sicherheit (Pexels, allgemeine Nutzung)[English]Die mutmaßlich aus Teenagern bestehende Hackergruppe (zumindest wurden einige Jugendliche in Großbritannien diesbezüglich verhaftet) hat wohl auch T-Mobile in den USA gleich mehrfach gehackt. Die Gruppe hatte Zugang zum Atlas-System von T-Mobile (dient zur Verwaltung von Kundenkonten). Das zeigen Chats-Aufzeichnungen, die Sicherheitsblogger Brian Krebs einsehen konnte.


Anzeige

Sicherheitsblogger Brian Krebs bekam wohl Zugriff auf die Chat-Protokolle von Unterhaltungen der Mitglieder dieser Hackergruppe und stieß dann auf die Hinweise auf T-Mobile (US-Telefonanbieter). Hier die Protokolle vom 19. März 2022 mit Einträgen, die T-Mobile betreffen.

Lapsus$ Chat logs

Die privaten Chats zeigen, dass LAPSUS$-Mitglieder Zugang zum Atlas-System von T-Mobile hatten. Das ist ein internes Tool von T-Mobile zur Verwaltung von Kundenkonten. Brian Krebs hat den Sachverhalt bereits vorigen Freitag in diversen Tweets sowie in diesem Artikel offen gelegt.

LAPSUS$ hacked T-Mobile

Der Gruppe war wohl gelungen, die Zugangsdaten eines T-Mobile-Mitarbeiters für dieses Atlas-System im Darknet zu kaufen. Nachdem ein Mitglied sich Zugang zu Atlas verschafft hatte, suchte dieses nach T-Mobile-Konten, die mit dem FBI und dem Verteidigungsministerium verbunden sind. Diese Konten wurden aber als Konten aufgeführt, die zusätzliche Überprüfungsverfahren erfordern, bevor Änderungen vorgenommen werden können.

Der erfolgreiche Hack führte zu Diskussionen innerhalb der Gruppe. Der Versuch, per SIM-Swapping Zugriff auf die Konten des FBI und weiterer Regierungskonten zu erlangen, wurde als recht riskant angesehen. Die anderen LAPSUS$-Mitglieder wollten nämlich unbedingt SIM-Swaps für einige, als wohlhabend eingeschätzten, Ziele in der T-Mobile-Kundendatenbank durchführen. Ziel war es, dadurch an Geld zu kommen.

Daher kappte der Hacker den erfolgreichen Zugriff auf die  VPN-Verbindung, die den Zugang zum T-Mobile-Netz ermöglichte. Er wollte sich darauf konzentrieren, den illegalen T-Mobile-Zugang zu nutzen, um Quellcode zu stehlen. Das scheint wohl erfolgreich gewesen zu sein, denn der Hacker mit dem Namen White postete im privaten Chat Screenshots. Diese zeigten, dass ein automatisiertes Skript mehr als 30.000 Quellcode-Repositories von T-Mobile heruntergeladen hatte.

Brian Krebs vermutet, dass der Hacker über den Quellcode hoffte, auf Sicherheitslücken zu stoßen, um diese ausnutzen zu können. Krebs schreibt, dass laut T-Mobile keine Daten von Kunden oder Behörden entwendet wurden. Details sind dem Artikel von Krebs zu entnehmen.


Anzeige

Zum Hintergrund der Lapsus$-Gruppe

Die Lapsus$-Gruppe konnte durch eine Reihe von Angriffen auf Technologieunternehmen, darunter Microsoft Corp. und Nvidia Corp eine gewisse mediale Aufmerksamkeit erlangen. Die Gruppe war seit Mitte 2021 tätig und die Strategie der Teilnehmer war, Zugänge zu Systemen durch Aufkaufen von Zugangsdaten von Mitarbeiterkonten zu erlangen. Die Leute waren da recht erfolgreich – über die Hacks der Lapsus$-Gruppe hatte ich ja mehrfach berichtet – siehe Links am Artikelende.

Inzwischen konnten vier Sicherheitsforscher, die im Auftrag der angegriffenen Unternehmen eine Reihe von Angriffen der Hackergruppe Lapsus$ untersuchten, die Identität einiger Mitglieder der Lapsus$-Gruppe herausfinden. Ich hatte darüber im Blog-Beitrag Stecken Kids aus England und Brasilien hinter der Lapsus$-Hacker-Gruppe? berichtet. Inzwischen gab es in Großbritannien Verhaftungen und auch Anklagen gegen Beschuldigte.

Ähnliche Artikel:
Nvidia-Hack: Daten und Source-Code offen gelegt, Zertifikate gestohlen
Ubisoft durch Lapsus$-Cyber-Gang gehackt (März 2022)
Samsung bestätigt Hack, Quellcodes durch Lapsus$ geleakt
Authentifizierungsdienst OKTA durch Lapsus$ gehackt?
Lapsus$ veröffentlicht angeblich Quellcode von Microsoft Azure, Bing und Cortana
Lapsus$-Hacks: Stellungnahmen von Okta und Microsoft
Stecken Kids aus England und Brasilien hinter der Lapsus$-Hacker-Gruppe?
7 Teenager im Zusammenhang mit den LAPSUS$-Hacks verhaftet
Okta gesteht "Lapsus" bezüglich Offenlegung beim "Lapsus$-Hack" ein
Lapsus$: Zwei britische Teenager wegen Hackens angeklagt


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Chats zeigen: LAPSUS$ hatte wohl auch T-Mobile mehrfach gehackt

  1. Stephan sagt:

    Die Leute die als Hacker bezeichnet werden, sind eigentlich keine Hacker sondern nutzen nur Zugangsdaten anderer Leute aus,
    die sie durch Phishing oder andere dinge bekommen haben.

    Ein Hacker ist eigentlich jemand, der eine Sicherheitslücke nutzt oder einen Zugang Knackt.

    In diesem Artikel wird deutlich beschrieben, wie sich zugang Verschafft wurde.
    Hat alles nix mit Hacken zu tun!

  2. Gerd Bohme sagt:

    Mehr oder weniger ein Inside-Job. Gegenstrategien zur Abwehr solcher werden die Cash-Cows der Zukunft.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.