黑客組織針對電信巨頭進行攻擊
T-Mobile證實,勒索集團Lapsus$幾周前就獲得了系統(tǒng)的訪問權(quán)限。
這家電信巨頭對記者的報道做出了回應,他從Lapsus$ 團伙核心成員的私人Telegram頻道中獲取了內(nèi)部聊天記錄。該公司補充說,它目前已經(jīng)通過阻止黑客對其網(wǎng)絡的群組訪問來緩解這一漏洞,并禁用了在此次攻擊中被盜的憑證。
Lapsus$是一個網(wǎng)絡黑客組織,它在2021年2月對巴西衛(wèi)生部發(fā)動勒索軟件攻擊時嶄露頭角,他們泄露了COVID 19的數(shù)百萬人的疫苗接種數(shù)據(jù)。最近,在3月,倫敦市警方逮捕了7名與該團伙有關的人。
記者發(fā)現(xiàn)的私人聊天記錄顯示,Lapsus$ 黑客組織在俄羅斯地下市場等非法平臺上找到了T-Mobile的內(nèi)部VPN登錄憑證。使用這些憑證,Lapsus$成員可以使用如 Atlas等 T-Mobile內(nèi)部管理客戶賬戶的工具。這將有助于他們進行Sim-Swapping攻擊。在這種攻擊中,黑客通過將受害者的號碼轉(zhuǎn)移到攻擊者所擁有的設備上進行劫持,這使得黑客能夠獲得到敏感的信息,比如電話號碼或其他任何多因素認證發(fā)送的信息。
在獲得ATLAS的訪問權(quán)后,Lapsus$黑客還試圖破壞與聯(lián)邦調(diào)查局和國防部相關的T-Mobile賬戶,但沒有成功,因為這些賬戶還有一個額外的驗證方法與之相關聯(lián)。
T-Mobile公司的一位發(fā)言人說,幾周前,我們的監(jiān)控工具檢測到了一個惡意攻擊者使用偷來的憑證來訪問存放操作工具軟件的內(nèi)部系統(tǒng)。
T-Mobile表示,盡管會有人試圖訪問內(nèi)部系統(tǒng) "Atlas",但此次并沒有敏感信息被泄露。T-Mobile發(fā)言人補充說,被訪問的系統(tǒng)不包含客戶或政府信息以及其他類似的敏感信息,我們沒有證據(jù)表明入侵者獲得了任何有價值的東西。我們的系統(tǒng)和流程目前正在正常運行,入侵者所使用的憑證現(xiàn)在已被淘汰。
最近Lapsus$攻擊增多,他們主要針對微軟、三星、Okta和Nvidia等大型技術公司進行攻擊。
Lapsus$進行的攻擊并不復雜,通常是使用從地下市場(如俄羅斯市場)竊取的憑證來發(fā)起的,然后使用社會工程學攻擊來繞過多因素認證。
一位研究LAPSUS$的安全專家說,他們迫使我們改變了對內(nèi)部人員訪問權(quán)限的設定。有國家背景的黑客組織要的是長期的、戰(zhàn)略性的訪問權(quán)限,但是勒索軟件集團要的是進行橫向移動。有專家在2022年3月24日的一條推文中說,目前我們還沒有優(yōu)化防御系統(tǒng)。
各個組織應該做好安全準備,防止像Lapsus$這樣團體進行網(wǎng)絡攻擊,Lapsus$針對組織進行攻擊的非常規(guī)技術也可能會被其他團體所效仿。企業(yè)內(nèi)部的威脅被Lapsus$再次帶入到人們的視線中,并迫使組織思考它所面對的真正挑戰(zhàn)。
安全研究員說,像Lapsus$這樣的網(wǎng)絡威脅是不會消失的。網(wǎng)絡攻擊不僅有很多錢可以賺,而且還可以獲得很大的網(wǎng)絡影響力。
多年來對T-Mobile的幾次攻擊
自2018年以來,T-Mobile就遭受了六次不同規(guī)模的數(shù)據(jù)泄露。2018年,一個被泄漏的API導致230萬客戶的數(shù)據(jù)被泄露。一年后的2019年,126萬名預付費者也受到了漏洞的影響。
2021年8月,T-Mobile又遭遇了數(shù)據(jù)泄露,超過4000萬的賬戶數(shù)據(jù)被盜。該賬戶是在該公司申請過信貸的前客戶或潛在客戶。
該客戶的記錄在同一年被出售,被泄露的數(shù)據(jù)還包括了眾多個人身份信息,如社會安全號碼、電話號碼和安全密碼等。
本文翻譯自:https://threatpost.com/lapsus-hackers-target-t-mobile/179384/如若轉(zhuǎn)載,請注明原文地址。