Das Telekommunikationsunternehmen T-Mobile bestätigte am Freitag, dass es im März Opfer eines Sicherheitsverstoßes wurde, nachdem es der Söldnerbande LAPSUS$ gelungen war, sich Zugang zu seinen Netzwerken zu verschaffen.
Das Eingeständnis kam, nachdem der Enthüllungsjournalist Brian Krebs interne Chats der Kernmitglieder der Gruppe veröffentlicht hatte, aus denen hervorging, dass LAPSUS$ im März mehrmals in das Unternehmen eingedrungen war, bevor die sieben Mitglieder festgenommen wurden.
T-Mobile erklärte in einer Erklärung, dass sich der Vorfall „vor einigen Wochen ereignete, wobei der „böse Akteur“ gestohlene Zugangsdaten verwendete, um auf interne Systeme zuzugreifen. „Die Systeme, auf die zugegriffen wurde, enthielten keine Kunden- oder Behördendaten oder andere ähnlich sensible Informationen, und wir haben keine Beweise dafür, dass der Eindringling etwas Wertvolles erlangen konnte“, heißt es weiter.
Die VPN-Zugangsdaten für den ersten Zugriff wurden angeblich von illegalen Websites wie Russian Market bezogen, um die Kontrolle über die Konten von T-Mobile-Mitarbeitern zu erlangen, damit der Angreifer nach Belieben SIM-Swapping-Angriffe durchführen kann.
Neben dem Zugriff auf ein internes Tool zur Verwaltung von Kundenkonten namens Atlas zeigen die Chats, dass LAPSUS$ in die Slack- und Bitbucket-Konten von T-Mobile eingedrungen ist und letztere zum Herunterladen von über 30.000 Quellcode-Repositories genutzt hat.
LAPSUS$ hat in der kurzen Zeit seit seinem Auftauchen in der Bedrohungslandschaft bereits Berühmtheit erlangt, weil er bei Impresa, NVIDIA, Samsung, Vodafone, Ubisoft, Microsoft, Okta und Globant eingebrochen ist.
Anfang des Monats gab die Londoner Polizei bekannt, dass sie zwei der sieben Teenager, einen 16- und einen 17-Jährigen, die letzten Monat wegen ihrer angeblichen Verbindungen zur LAPSUS$-Datenerpresserbande verhaftet wurden, angeklagt hat.