黑客組織針對電信巨頭進行攻擊

T-Mobile證實，勒索集團Lapsus$幾周前就獲得了系統的訪問權限。

這家電信巨頭對記者的報道做出了回應，他從Lapsus$ 團伙核心成員的私人Telegram頻道中獲取了內部聊天記錄。該公司補充說，它目前已經通過阻止黑客對其網絡的群組訪問來緩解這一漏洞，并禁用了在此次攻擊中被盜的憑證。

Lapsus$是一個網絡黑客組織，它在2021年2月對巴西衛生部發動勒索軟件攻擊時嶄露頭角，他們泄露了COVID 19的數百萬人的疫苗接種數據。最近，在3月，倫敦市警方逮捕了7名與該團伙有關的人。

記者發現的私人聊天記錄顯示，Lapsus$ 黑客組織在俄羅斯地下市場等非法平臺上找到了T-Mobile的內部VPN登錄憑證。使用這些憑證，Lapsus$成員可以使用如 Atlas等 T-Mobile內部管理客戶賬戶的工具。這將有助于他們進行Sim-Swapping攻擊。在這種攻擊中，黑客通過將受害者的號碼轉移到攻擊者所擁有的設備上進行劫持，這使得黑客能夠獲得到敏感的信息，比如電話號碼或其他任何多因素認證發送的信息。

在獲得ATLAS的訪問權后，Lapsus$黑客還試圖破壞與聯邦調查局和國防部相關的T-Mobile賬戶，但沒有成功，因為這些賬戶還有一個額外的驗證方法與之相關聯。

T-Mobile公司的一位發言人說，幾周前，我們的監控工具檢測到了一個惡意攻擊者使用偷來的憑證來訪問存放操作工具軟件的內部系統。

T-Mobile表示，盡管會有人試圖訪問內部系統 "Atlas"，但此次并沒有敏感信息被泄露。T-Mobile發言人補充說，被訪問的系統不包含客戶或政府信息以及其他類似的敏感信息，我們沒有證據表明入侵者獲得了任何有價值的東西。我們的系統和流程目前正在正常運行，入侵者所使用的憑證現在已被淘汰。

最近Lapsus$攻擊增多，他們主要針對微軟、三星、Okta和Nvidia等大型技術公司進行攻擊。

Lapsus$進行的攻擊并不復雜，通常是使用從地下市場（如俄羅斯市場）竊取的憑證來發起的，然后使用社會工程學攻擊來繞過多因素認證。

一位研究LAPSUS$的安全專家說，他們迫使我們改變了對內部人員訪問權限的設定。有國家背景的黑客組織要的是長期的、戰略性的訪問權限，但是勒索軟件集團要的是進行橫向移動。有專家在2022年3月24日的一條推文中說，目前我們還沒有優化防御系統。

各個組織應該做好安全準備，防止像Lapsus$這樣團體進行網絡攻擊，Lapsus$針對組織進行攻擊的非常規技術也可能會被其他團體所效仿。企業內部的威脅被Lapsus$再次帶入到人們的視線中，并迫使組織思考它所面對的真正挑戰。

安全研究員說，像Lapsus$這樣的網絡威脅是不會消失的。網絡攻擊不僅有很多錢可以賺，而且還可以獲得很大的網絡影響力。

 多年來對T-Mobile的幾次攻擊

自2018年以來，T-Mobile就遭受了六次不同規模的數據泄露。2018年，一個被泄漏的API導致230萬客戶的數據被泄露。一年后的2019年，126萬名預付費者也受到了漏洞的影響。

2021年8月，T-Mobile又遭遇了數據泄露，超過4000萬的賬戶數據被盜。該賬戶是在該公司申請過信貸的前客戶或潛在客戶。

該客戶的記錄在同一年被出售，被泄露的數據還包括了眾多個人身份信息，如社會安全號碼、電話號碼和安全密碼等。