Uma revisão realizada pelo website Krebs on Security revelou uma cópia de mensagens de bate-papo privado entre membros do grupo de crimes cibernéticos Lapsus$ sobre a violação contra a T-Mobile. Os cibercrimiosos postaram informações que indicam o roubo de código-fonte de uma série de projetos da empresa. Em comunicado, a T-Mobile diz que nenhuma informação do cliente ou do governo foi roubada na invasão.
Os logs indicam que o grupo teve zero problemas para comprar, roubar ou bajular as contas dos funcionários das empresas que eles queriam invadir. O maior desafio para o Lapsus$ foi o assunto mencionado por “Lapsus Jobs” na captura abaixo: Cadastro de dispositivos. Na maioria dos casos, isso envolveu funcionários de engenharia social da empresa-alvo para adicionar um de seus computadores ou celulares à lista de dispositivos autorizados a autenticar com a VPN da empresa.
As mensagens mostram que os membros do Lapsus$ visavam continuamente os funcionários da T-Mobile, cujo acesso às ferramentas internas da empresa poderia dar a eles tudo o que precisavam para realizar “trocas de SIM” – reatribuindo o número de telefone celular de um alvo a um dispositivo que eles controlavam. Essas trocas não autorizadas permitem que um invasor intercepte as mensagens de texto e chamadas telefônicas de um alvo, incluindo quaisquer links enviados por SMS para redefinições de senha ou códigos únicos enviados para autenticação multifator.
“Várias semanas atrás, nossas ferramentas de monitoramento detectaram um mau ator usando credenciais roubadas para acessar sistemas internos que abrigam software de ferramentas operacionais”, disse a T-Mobile em comunicado. “Nossos sistemas e processos funcionaram conforme projetado, a intrusão foi rapidamente encerrada e fechada e as credenciais comprometidas usadas tornaram-se obsoletas”, completa.
O Telegram é o aplicativo de mensagens mais utilizado pelo Lapsus$ e por outros grupos cibercriminosos. Nas páginas que circulam no aplicativo, os usuários podem encontrar vários links suspeitos, ofertas de “empregos” em organizações criminosas e até mesmo enquetes para serem votadas, indicando quais empresas poderiam ser a próxima vítima de ciberataque. A T-Mobile estava nessa enquete publicada pelo grupo em meados de março deste ano.
Em agosto do ano passado, a T-Mobile confirmou ao mercado que sofreu um ataque cibernético altamente sofisticado em seus sistemas. Segundo informações divulgadas, uma análise preliminar revelou que aproximadamente 7,8 milhões de informações atuais de contas de clientes pós-pagos parecem estar contidas nos arquivos roubados, bem como pouco mais de 40 milhões de registros de clientes anteriores ou potenciais que já haviam solicitado crédito da companhia.
Na ocasião, a T-Mobile empresa ressaltou que nenhum número de telefone, número de conta, PIN, senha ou informação financeira foi comprometido em qualquer um desses arquivos de clientes ou clientes em potencial.
O Lapsus$ é um dos grupos de cibercriminosos que está em alta no mercado brasileiro. O ataque aos sistemas do Ministério da Saúde foi o mais impactante nos últimos meses, pois ganhou manchetes em todo o Brasil devido ao estrago causado, como apagão de dados da Covid no país e desaparecimento dos certificados de vacinação no aplicativo. Além disso, o grupo reivindica vários outros ataques, como à Samsung e NVIDIA.
*Com informações do Krebs on Security
