T-Mobile xác nhận máy chủ đã bị tấn công, nhưng khẳng định không có thông tin nhạy cảm từ khách hàng hoặc chính phủ bị truy cập hay đánh cắp.
Vụ việc được cho là diễn ra ngay trước khi cảnh sát bắt giữ 7 thành viên của nhóm Lapsus$ vào cuối tháng 3. Chuyên gia bảo mật Brian Krebs trước đó đã chia sẻ ảnh chụp màn hình được cho là tin nhắn trên nhóm Telegram, nội dung cho thấy nhóm hacker này đã nhiều lần nhắm mục tiêu vào nhà mạng của Mỹ.
Trong thông báo chính thức, T-Mobile nói các công cụ giám sát đã phát hiện nhóm hacker sử dụng thông tin đăng nhập bị đánh cắp để truy cập vào hệ thống nội bộ chứa phần mềm. Hệ thống của nhà mạng đã đóng và hủy các tài khoản bị đánh cắp. Hệ thống bị truy cập trái phép không chứa thông tin khách hàng, chính phủ hoặc thông tin nhạy cảm tương tự khác.
 |
Ảnh cho thấy nhóm Lapsus$ đang tra cứu hệ thống Atlas nội bộ của T-Mobile |
chụp màn hình |
Lapsus$ đã không làm tê liệt hệ thống của T-Mobile, thay vào đó là truy cập vào mạng nội bộ bằng cách thu thập thông tin đăng nhập của nhân viên. Các thông tin này dường như được mua lại từ các trang web chuyên kinh doanh các công cụ xác thực bị đánh cắp.
Theo KrebsOnSecurity, khi truy cập vào T-Mobile, nhóm hacker này đã dùng các công cụ như Atlas, hệ thống quản lý khách hàng của T-Mobile để thực hiện các cuộc tấn công hoán đổi SIM.
Tấn công hoán đổi SIM cho phép Lapsus$ chặn các biện pháp bảo vệ trong kỹ thuật xác thực hai yếu tố (2FA). Khi có quyền truy cập vào thẻ SIM của nạn nhân, nhóm này có thể đã chặn tin nhắn SMS hoặc thực hiện đặt lại mật khẩu, cũng như mật khẩu dùng một lần (OTP).
Với những thành tích trong quá khứ, cuộc tấn công nhắm vào T-Mobile có thể là một vụ trộm nhằm thu thập dữ liệu bí mật làm con tin, tiếp đến là đe dọa sẽ công bố trừ khi trả tiền chuộc.
Bình luận (0)