10代の若者が中心の国際的ハッカー集団「LAPSUS$」が通信大手・T-Mobileのソースコードを盗んだと判明

MicrosoftやNVIDIA、Samsungなどへハッキングを仕掛けたことで注目されている国際的ハッカー集団「LAPSUS$」は、イギリスおよびブラジルに住む10代の若者が中心人物と目されています。そんなLAPSUS$の内部チャットが流出し、LAPSUS$が大手通信キャリアであるT-Mobileのソースコードを盗み出していたことが判明しました。

Leaked Chats Show LAPSUS$ Stole T-Mobile Source Code – Krebs on Security
https://krebsonsecurity.com/2022/04/leaked-chats-show-lapsus-stole-t-mobile-source-code/

T-Mobile confirms Lapsus$ hackers breached internal systems
https://www.bleepingcomputer.com/news/security/t-mobile-confirms-lapsus-hackers-breached-internal-systems/

Lapsus$ hackers breached T-Mobile’s systems and stole its source code - The Verge
https://www.theverge.com/2022/4/23/23038570/lapsus-hackers-target-t-mobile-source-code-multiple-breaches-cybersecurity

LAPSUS$は2020年頃から南米を中心に活動していたハッカー集団で、2022年頃からはMicrosoftやSamsungといった国際的ハイテク企業にターゲットを切り替えています。リーダーは「White」「WhiteDoxbin」あるいは「Oklaqq」というIDで活動する、イギリス在住の17歳の少年である可能性が高いとされており、2022年3月にはロンドン市警察がLAPSUS$に関係する16～21歳の若者7人を逮捕したことが報じられました。

MicrosoftやSamsungを攻撃したハッカー集団「LAPSUS$」に関連したとして16歳のティーンエイジャーを含む7人の若者が逮捕される - GIGAZINE

セキュリティ系ブログのKrebs on Securityは4月22日、「LAPSUS$のメンバーが逮捕されるまでの1週間にやりとりされたプライベートチャット」のコピーを入手したと報告しました。Krebs on Securityが入手したチャットは、LAPSUS$の中核である7人のメンバーのみが参加するプライベートなTelegramチャネルで行われたものだとのこと。

問題のチャットでは、LAPSUS$がハッキングに使用する「ソーシャルエンジニアリング」についてのやり取りもかわされていました。Krebs on Securityによると、LAPSUS$は「Russian Market」などの闇サイトからリモートで侵害されたデバイスへのアクセスや資格情報を購入し、ターゲットのシステムに侵入する足がかりにしていたそうです。

LAPSUS$はソーシャルエンジニアリングを使い、ターゲットのSIMカードを乗っ取る「SIMスワッピング」を行ってSMSや音声通話などを傍受し、従業員アカウントの多要素認証を突破していました。チャットからは、LAPSUS$がこのSIMスワッピングを円滑にするために、大手通信キャリアのT-Mobileを継続的にターゲットにしていたこともわかっています。

また、リーダーのWhiteはT-Mobileのソースコードを盗み出すよう強固に主張しており、他のメンバーから上がった不満の声を押し切ってソースコードを盗み出したという経緯も明らかになっています。Whiteがプライベートチャットに投稿した、自動スクリプトがT-Mobileから3万件以上のソースコードリポジトリを盗み出した証拠のスクリーンショットが以下。

Krebs on Securityの問い合わせに対し、T-Mobileは「当社の監視ツールは数週間前に、盗まれた認証情報を使用して運用ツールソフトを格納する社内システムにアクセスする悪質なアクターを検知しました」と回答し、外部からのハッキングがあったことを認めました。

その一方でT-Mobileは、「アクセスされたシステムには、顧客情報や政府機関情報、その他の同様の機密情報は含まれておらず、侵入者が価値あるものを入手できたという証拠もありません。当社のシステムとプロセスは設計通りに動作し、侵入は迅速にシャットダウンそして遮断され、ハッカーに使用された漏えいした認証情報は無効化されました」と述べ、顧客情報などが盗まれることはなかったと主張しています。

また、Krebs on Securityは今回流出したチャットの内容から、LAPSUS$のメンバーはロンドン市警察の発表があった際に一挙に逮捕されたのではなく、数カ月にわたって順次逮捕されていったと報告しています。

さらにリーダーのWhiteは、LAPSUS$のメンバーに対してかなり強権的に振る舞っており、特に「Amtrak」というコードネームのメンバーに対して虐待的だと指摘。「WhiteはAmtrakやその他のLAPSUS$のメンバーを、友人としてカウントしていないようです」と、Krebs on Securityは述べました。

なお、LAPSUS$は警察による電子機器の押収に備えて、ハッキングで盗んだデータを個人のデバイスではなくクラウドに保管することを取り決めていたそうですが、3月下旬にAWSサーバーへのアクセスが遮断されたことで盗んだデータを失ってしまったこともチャットに記されています。Amtrakは連邦捜査局(FBI)によるサーバーの押収に対し、「これは違法だろ！違法なクソだらけだ！」と書き込んでいます。

Whiteは押収されたサーバーに保管されていたT-Mobileのソースコードに執心しており、再びハッキングを仕掛けようとしたものの、T-Mobileはハッキングに使われたアクセストークンを取り消していたため、この試みは失敗に終わったそうです。

なお、今回LAPSUS$からのハッキングが明らかとなったT-Mobileは、以前にも3000万人分の顧客データがハッカー集団に盗まれ、20万ドル(約2500万円)を支払って排他的アクセス権を購入したにもかかわらず、その後もデータが闇市場で売られ続けていたことが報じられています。

2500万円を支払って取り戻したはずの3000万人の顧客データが闇市場で売られ続けていたことが発覚 - GIGAZINE