Avant que la police n’arrête sept des membres les plus prolifiques du groupe fin mars, le gang de rançongiciels Lapsus$ a volé le code source de T-Mobile le même mois. Dans un rapport publié vendredi et repéré par Le bordle journaliste de sécurité Brian Krebs a partagé des captures d’écran de messages privés de Telegram qui montrent que le groupe a ciblé le transporteur à plusieurs reprises.
« Il y a plusieurs semaines, nos outils de surveillance ont détecté un acteur malveillant utilisant des informations d’identification volées pour accéder aux systèmes internes qui hébergent des logiciels d’outils opérationnels », a déclaré T-Mobile à Krebs. « Nos systèmes et processus ont fonctionné comme prévu, l’intrusion a été rapidement arrêtée et fermée, et les informations d’identification compromises utilisées sont devenues obsolètes. » La société a ajouté que « les systèmes consultés ne contenaient aucune information sur les clients ou le gouvernement ou d’autres informations sensibles similaires ».
Lapsus$ a d’abord accédé aux outils internes de T-Mobile en achetant des identifiants d’employés volés sur des sites Web comme Russian Market. Le groupe a ensuite mené une série d’attaques par échange de carte SIM. Ces types d’intrusions impliquent généralement un pirate qui détourne le téléphone mobile de sa cible en transférant le numéro sur un appareil en sa possession. L’attaquant peut ensuite utiliser cet accès pour intercepter les messages SMS, y compris les liens vers les réinitialisations de mot de passe et les codes à usage unique pour l’authentification multifacteur. Certains membres de Lapsus$ ont tenté d’utiliser leur accès pour pirater des comptes T-Mobile associés au FBI et au ministère de la Défense, mais n’y sont pas parvenus en raison des mesures de vérification supplémentaires liées à ces comptes.
Les pirates ont fréquemment ciblé T-Mobile ces dernières années. En août dernier, l’entreprise a confirmé avoir été victime d’un piratage qui a compromis les données personnelles de plus de 54 millions de ses clients. Cette brèche impliquait également des attaques par échange de cartes SIM et a peut-être même vu le transporteur payer secrètement une entreprise tierce pour limiter les dégâts.
Tous les produits recommandés par Engadget sont sélectionnés par notre équipe éditoriale, indépendante de notre maison mère. Certaines de nos histoires incluent des liens d’affiliation. Si vous achetez quelque chose via l’un de ces liens, nous pouvons gagner une commission d’affiliation.