Πριν η αστυνομία συλλάβει επτά από τα πιο παραγωγικά μέλη της ομάδας στα τέλη Μαρτίου, η συμμορία ransomware Lapsus$ έκλεψε τον πηγαίο κώδικα της T-Mobile τον ίδιο μήνα. Σε μια αναφορά που δημοσιεύτηκε την Παρασκευή , o δημοσιογράφος ασφαλείας Brian Krebs μοιράστηκε στιγμιότυπα οθόνης από ιδιωτικά μηνύματα Telegram που δείχνουν ότι η ομάδα στόχευσε τον πάροχο πολλές φορές.
«Πριν από αρκετές εβδομάδες, τα εργαλεία παρακολούθησης μας εντόπισαν έναν hacker που χρησιμοποιούσε κλεμμένα διαπιστευτήρια για πρόσβαση σε εσωτερικά συστήματα που φιλοξενούν λογισμικό λειτουργικών εργαλείων», είπε η T-Mobile στον Krebs. “Τα συστήματα και οι διαδικασίες μας λειτούργησαν όπως σχεδιάστηκαν, η εισβολή τερματίστηκε γρήγορα και έκλεισε και τα παραβιασμένα διαπιστευτήρια που χρησιμοποιήθηκαν κατέστησαν παρωχημένα.” Η εταιρεία πρόσθεσε ότι “τα συστήματα στα οποία έχει πρόσβαση δεν περιείχαν πληροφορίες πελατών ή κρατικών πληροφοριών ή άλλες παρόμοιες ευαίσθητες πληροφορίες”.
H Lapsus$ είχε αρχικά πρόσβαση στα εσωτερικά εργαλεία της T-Mobile αγοράζοντας κλεμμένα διαπιστευτήρια υπαλλήλων σε ιστότοπους όπως το Russian Market. Στη συνέχεια, η ομάδα πραγματοποίησε μια σειρά επιθέσεων ανταλλαγής SIM. Αυτού του είδους οι εισβολές συνήθως περιλαμβάνουν έναν χάκερ που κλέβει το κινητό τηλέφωνο του στόχου του μεταφέροντας τον αριθμό σε μια συσκευή που έχει στην κατοχή του. Ο εισβολέας μπορεί στη συνέχεια να χρησιμοποιήσει αυτήν την πρόσβαση για να υποκλέψει μηνύματα SMS, συμπεριλαμβανομένων συνδέσμων για επαναφορά κωδικού πρόσβασης και κωδικών μίας χρήσης για έλεγχο ταυτότητας πολλαπλών παραγόντων. Ορισμένα μέλη του Lapsus$ προσπάθησαν να χρησιμοποιήσουν την πρόσβασή τους για να παραβιάσουν λογαριασμούς της T-Mobile που σχετίζονται με το FBI και το Υπουργείο Άμυνας, αλλά απέτυχαν να το κάνουν λόγω των πρόσθετων μέτρων επαλήθευσης που συνδέονται με αυτούς τους λογαριασμούς.
Οι χάκερ έχουν στοχεύσει συχνά την T-Mobile τα τελευταία χρόνια. Τον περασμένο Αύγουστο, η εταιρεία επιβεβαίωσε ότι είχε πέσει θύμα χακαρίσματος που οδήγησε σε κίνδυνο τα προσωπικά δεδομένα περισσότερων από 54 εκατομμυρίων πελατών της. Αυτή η παραβίαση περιλάμβανε επίσης επιθέσεις ανταλλαγής SIM και μπορεί ακόμη και να είδε την εταιρεία κινητής τηλεφωνίας να πληρώνει κρυφά μια τρίτη εταιρεία για να περιορίσει τη ζημιά.