Uma nova investigação revela que os hackers do Lapsus$ Group acederam aos sistemas informáticos da T-Mobile e roubaram código-fonte, numa série de ataques que ocorreram em março deste ano.

Como avança o website Krebs on Security, que teve acesso a mensagens dos hackers num canal privado no Telegram, os piratas informáticos estavam a planear atacar a operadora de telecomunicações uma semana antes de a Polícia de Londres ter detido sete jovens por suspeita de envolvimento com o grupo.

As mensagens demonstram que os hackers do Lapsus$ Group obtinham as credenciais necessárias para aceder aos sistemas informáticos das vítimas através de plataformas, como a Russian Market, que vendem o acesso a sistemas comprometidos.

Para os hackers o maior desafio estava em conseguir levar os funcionários das empresas visadas a adicionar os seus computadores ou smartphones à lista de equipamentos que podiam autenticar-se nas redes virtuais privadas.

Através das credenciais de funcionários da T-Mobile, os piratas informáticos conseguiram aceder a ferramentas internas que lhes davam todas as ferramentas necessárias para pôr em prática uma tática conhecida como “SIM swap”, que permite reatribuir um número de telefone de uma vítima a um equipamento controlado pelos hackers.

Será o Lapsus$ Group comandado por um hacker de 16 anos? O que se sabe sobre o possível líder do grupo
Será o Lapsus$ Group comandado por um hacker de 16 anos? O que se sabe sobre o possível líder do grupo
Ver artigo

Mensagens datadas de 19 de março mostram que os hackers conseguiram aceder à Atlas, uma ferramenta interna da T-Mobile utilizada para gerir contas de clientes. A partir daqui, um membro conhecido como “White”, que se acredita ser o líder do grupo, tentou aceder a contas associados com o FBI e com o Departamento de Defesa dos Estados Unidos, porém, sem sucesso.

Devido a desentendimentos entre membros do grupo, que não queriam que o acesso à Atlas e a outras ferramentas internas da T-Mobile fosse “queimado” em tentativas para atacar contas ligadas a governos, “White” acabou por interromper a ligação que permitia aceder à rede da operadora.

Numa possível tentativa para acalmar os ânimos dos restantes membros do grupo, que não ficaram satisfeitos com a decisão, “White” deu a conhecer que tinha conseguido aceder a contas da T-Mobile no Slack e Bitbucket, de onde foram roubados mais de 30.000 repositórios de código-fonte.

Em resposta ao website, a T-Mobile afirma que, há várias semanas, verificou que alguém estava a usar credenciais roubadas para aceder a sistemas internos que contêm ferramentas operacionais e software.

“Os sistemas comprometidos não continham informação de clientes ou governos, nem outros dados igualmente sensíveis, e não temos evidências de que o intruso tenha conseguido obter algo de valor”, clarifica a operadora, que acrescenta que a intrusão foi rapidamente interrompida e que as credenciais anteriormente usadas pelos hackers foram tornadas obsoletas.

Hackers do Lapsus$ Group ameaçam divulgar dados da Impresa e da Vodafone na Internet
Hackers do Lapsus$ Group ameaçam divulgar dados da Impresa e da Vodafone na Internet
Ver artigo

Recorde-se que, em fevereiro, o Lapsus$ Group tinha perguntado no seu canal do Telegram quais eram os dados devia divulgar primeiro: os do grupo Impresa, da Vodafone ou da T-Mobile.

Embora a T-Mobile afirme que o mais recente incidente não tenha comprometido informação dos seus clientes, em agosto de 2021, a operadora foi vítima de um ataque que afetou os dados de mais de 47 milhões de clientes.