Venerdì 22 aprile è stata diffusa la notizia di un attacco hacker ai danni della multinazionale di telefonia mobile “T-Mobile”, appartenente al gruppo Deutsche Telekom, il più grande player europeo nel settore delle telecomunicazioni.
La notizia è stata lanciata dal giornalista investigativo Brian Krebs che ha diffuso gli screenshot delle chat interne dei membri del gruppo LAPSUS$, un collettivo di giovani hacker che in passato avevano attaccato e rubato codici sorgente a Microsoft, NVIDIA, Samsung o Okta, riportando che sono state compiute diverse intrusioni a danno dei sistemi informatici della T-Mobile nel corso del mese di marzo.
Dalle chat è stato ricostruito che i cybercriminali siano riusciti ad ottenere illegalmente le credenziali VPN di alcuni dipendenti dell’azienda, presumibilmente nel darkweb su siti come Russian Market, per poi avere l’accesso a uno strumento interno di gestione degli account dei clienti chiamato Atlas, oltre agli account Slack e Bitbucket utilizzati per scaricare più di 30.000 repository di codice sorgente.
In particolare, attraverso Atlas, hanno effettuato operazioni di sim-swapping. Si tratta di una tecnica attraverso cui viene dirottato il numero telefonico di un bersaglio su un dispositivo di proprietà dell’attaccante in maniera tale da ricevere su quest’ultimo sms o chiamate indirizzate alla vittima. Questo tipo di attacco è sempre più frequente da quando si utilizzano gli smartphone per ricevere i codici temporanei – c.d. OTP – per autorizzare operazione bancarie o altri accessi con sistemi di autentificazione a due fattori e non sempre si riesce a dimostrare, come invece ha potuto fare il signor Fabio di Ventimiglia, a cui Intesa Sanpaolo ha restituito 77.000 euro, di esser stati vittime di sim-swap.
Non ultimo hanno tentato di violare gli account di personale dipendente del FBI e del Dipartimento della Difesa americano ma ciò è stato vano perché occorrevano ulteriori credenziali che mancavano.
La società tedesca si è limitata a dichiarare al portale the Verge che “Diverse settimane fa, i nostri strumenti di monitoraggio hanno rilevato un malintenzionato che utilizzava credenziali rubate per accedere ai sistemi interni che ospitano il software degli strumenti operativi…I nostri sistemi e processi hanno funzionato come previsto, l’intrusione è stata rapidamente interrotta e chiusa e le credenziali compromesse utilizzate sono state rese obsolete”.
