De bekende Lapsus$-hackers hebben in maart van dit jaar ook T-Mobile succesvol aangevallen. Tijdens de hack wisten ze broncode te bemachtigen.

Dat blijkt uit onderzoek van securityblog KrebsOnSecurity. Lapsus$ kreeg meerdere malen toegang tot de interne systemen van T-Mobile. Waarschijnlijk ging het vooral om de systemen van de Amerikaanse dochter van het Duitse telecomconcern.

De hackers slaagden erin, net als eerder bij Samsung, Okta, Globant, Microsoft en Nvidia, de systemen binnen te dringen en daar informatie te bekijken. Onder meer kregen zij toegang tot de tool Atlas, een interne tool van T-Mobile voor het beheren van klantenaccounts. Op deze manier konden zij de gegevens van gevoelige accounts inkijken, zoals die van het Amerikaanse ministerie van Defensie.

In een reactie aan KrebsOnSecurity geeft T-Mobile aan dat inderdaad een inbreuk in de systemen heeft plaatsgevonden. Hierbij zou geen data van private klanten of overheidsklanten zijn gestolen.

Inkijkje in hackerswerkzaamheden

De logs van het privé Telegram-chatkanaal van Lapsus$ geeft volgens KrebsOnSecurity inzicht in de werkmethode van de hackers die inmiddels zijn aangehouden. De hackers kregen vaak initiële toegang tot de systemen van de getroffen bedrijven door bestaande compromitterende informatie te kopen van een illegale hackerssites die dergelijke informatie verkopen.

Vervolgens begon het echte werk, het zoveel mogelijk compromitteren van devices van andere medewerkers binnen de getroffen bedrijven om de toegang tot de systemen verder uit te breiden. Zoals het kunnen compromitteren van de VPN-verbindingen en -netwerken van de aangevallen bedrijven. Hiervoor maakten de Lapsus$-hackers vaak gebruik van social engineering.

Op deze manier werden bijvoorbeeld T-Mobile-medewerkers aangevallen met ‘SIM-swaps’, waardoor de hackers konden meeluisteren en meelezen met de mobiele devices van de medewerkers. Zo onderschepten ze authenticatiecodes en wachtwoorden. Wanneer passwords werden veranderd, konden de hackers nieuwe credentials van T-Mobile-medewerkers aankopen en gebruiken.

Obsessie met broncode

De logs geven ook aan dat de leider van de Lapsus$-hackers, een 17-jarige Britse jongen, geobsedeerd was met het stelen van broncode. Ook in de hack van T-Mobile riep de leider leden op vooral broncode te stelen. Uiteindelijk schakelde hij de VPN-verbinding naar het interne Atlas-systeem uit omdat hij meer aandacht voor de broncode wilde hebben. Met deze code wilde hij de getroffen bedrijven, in dit geval T-Mobile, afpersen voor losgeld. Vervolgens richtten de hackers zich op de Slack- en Bitbucket-accounts van T-Mobile waarin broncode aanwezig was.

Tip: De snelle opkomst en (waarschijnlijke) ondergang van Lapsus$