Le réseau mobile américain émerge comme dernière victime de Lapsus$

Le gang de cybercriminalité Lapsus$ a compromis les systèmes du réseau mobile américain T-Mobile et aurait tenté de voler le code source relatif à divers produits dans les jours précédant immédiatement l’arrestation de divers membres, a-t-il révélé.

Les journaux de discussion Telegram privés du gang, qui ont été divulgués à Brian Krebs de KrebsOnSecurity, montrent comment Lapsus$ a acheté des informations d’identification d’employés T-Mobile compromises sur des sites souterrains tels que Russian Market, qu’ils ont utilisés pour effectuer des attaques d’échange de cartes SIM.

Un échange de cartes SIM est un type de cyberattaque dans lequel un opérateur mobile est convaincu de basculer le numéro de téléphone d’un appareil ciblé vers un nouvel appareil, donnant aux nouveaux propriétaires l’accès aux informations stockées sur l’appareil du propriétaire d’origine, telles que les détails bancaires ou de carte de crédit, et leur permettant de prendre le contrôle d’autres comptes en réinitialisant les informations d’identification. De telles attaques sont assez souvent déployées pour voler de la crypto-monnaie.

Krebs, un journaliste d’investigation indépendant, a rapporté que le gang a utilisé son influence pour accéder à l’outil de gestion de la clientèle de T-Mobile, Atlas, et à partir de là, a tenté d’accéder à des comptes associés à des organismes et agences du gouvernement américain, y compris le FBI. Cela a provoqué des disputes entre les membres inquiets d’être allés trop loin, ce qui semble avoir conduit le meneur du groupe, qui est passé par la poignée Blanche, à pivoter pour voler le code source à la place.

Les journaux de discussion divulgués révèlent également un aperçu de l’état d’esprit des adolescents qui composaient le gang, l’un d’entre eux, passant par la poignée mox exprimant son mécontentement que son école était en effervescence avec des discussions sur Lapsus$ mais qu’il ne pouvait dire à personne qu’il était impliqué.

Un autre membre du gang utilisant le pseudonyme Amtrak a été vu en train de demander à White de masquer les informations de T-Mobile parce que ses parents savaient qu’il s’était engagé dans l’échange de cartes SIM dans le passé et ne voulaient pas avoir d’ennuis.

D’autres preuves contenues dans les journaux de discussion du gang indiquent qu’Amtrak a été intimidée et plus tard doxée par White. Le gang semble avoir été déchiré par des luttes intestines, ce qui a peut-être finalement contribué à sa chute.

White serait l’un des deux adolescents accusés de la frénésie de piratage lapsus$ par la police de la ville de Londres, bien que cela n’ait pas été et ne puisse pas être officiellement confirmé en raison de leur âge.

Dans une déclaration diffusée aux médias, un porte-parole de l’opération américaine de T-Mobile a déclaré: « Il y a plusieurs semaines, nos outils de surveillance ont détecté un mauvais acteur utilisant des informations d’identification volées pour accéder aux systèmes internes qui hébergent des logiciels d’outils opérationnels.

« Les systèmes auxquels on a accédé ne contenaient aucune information sur les clients ou le gouvernement ou d’autres informations sensibles similaires, et nous n’avons aucune preuve que l’intrus ait pu obtenir quoi que ce soit de valeur. Nos systèmes et processus ont fonctionné comme prévu, l’intrusion a été rapidement arrêtée et fermée, et les informations d’identification compromises utilisées ont été rendues obsolètes.

L’attaque contre T-Mobile n’aurait pas eu d’impact sur l’ancienne opération britannique de l’organisation, qui a été intégrée au réseau mobile EE il y a plus de dix ans, et n’a plus de relation significative avec son ancienne société mère, Deutsche Telekom, qui détient toutefois une participation dans les propriétaires actuels d’EE, BT.

Lapsus$ a pris de l’importance au début de 2022, grâce à une série d’attaques très médiatisées contre des entreprises technologiques telles que Nvidia, Samsung, Ubisoft, Okta et Microsoft. Le gang a été considéré à tort comme un gang de ransomware au début, mais il ne semble pas avoir jamais déployé de ransomware sur l’une de ses cibles, préférant simplement exfiltrer et divulguer des données tout en exigeant un paiement, plutôt que de le chiffrer.