마이크로소프트나 엔비디아, 삼성전자 등에 해킹을 해 주목받고 있는 국제 해커 집단인 라푸스$(LAPSUS$)는 영국과 브라질에 거주하는 10대 젊은이가 중심 인물로 보인다고 한다. 이런 라푸스$가 대형 이동통신사 T-모바일 소스코드를 훔쳐낸 게 판명됐다.
라푸스$는 2020년경부터 남미를 중심으로 활동하고 있다. 해커 집단으로 2022년경부터는 마이크로소프트나 삼성전자 등 국제 기술 기업을 타깃으로 전환하고 있다. 리더는 각종 ID(White, WhiteDoxbin, Oklaqq)로 활동하는 영국에 거주하는 17세 소년일 가능성이 높다고 하며 2022년 3월에는 런던시 경찰이 라푸스$에 관계하는 16∼21세 젊은이 7명을 체포한 게 보도되기도 했다.
보안 블로그(Krebs on Security)는 지난 4월 22일 라푸스$ 회원이 체포되기 전 일주일 교환된 개팅 채팅 사본을 받았다고 보고했다. 이곳이 입수한 채팅은 라푸스$ 핵심 멤버 7명만 참가하는 비공개 텔레그램 채널에서 이뤄진 것이다.
이 채팅에선 라푸스$가 해킹에 사용하는 소셜 엔지니어링에 대한 얘기를 나눴다. 라푸스$는 러시안 마켓 등 다크넷에서 원격으로 침해당한 장치에 대한 액세스와 자격 증명을 구입해 타깃 시스템에 침입하는 발판으로 삼아왔다.
라푸스$는 소셜 엔지니어링을 이용해 타깃 SIM 카드를 탈취하는 SIM 스와핑을 실시해 SMS나 음성 통화 등을 가로채 종업원 계정 다요소 인증을 돌파하고 있었다. 채팅에선 라푸스$가 이 SIM 스와핑을 원활하게 하기 위해 이동통신사 T-모바일을 지속적으로 타깃팅하고 있다는 걸 알 수 있다.
또 리더는 T-모바일 소스코드를 훔치도록 주장하고 있으며 다른 멤버 불만을 막고 소스코드를 훔쳤다는 경위도 밝혀졌다.
T-모바일은 자사 모니터링 도구가 몇 주 전 도난당한 자격 증명을 이용해 운영 도구 소프트웨어를 저장하는 내부 시스템에 액세스하는 악성 액터를 감지했다고 밝혀 외부에서 해킹이 있었다는 걸 인정했다. 한편 T-모바일은 액세스된 시스템에는 고객 정보, 정부 기관 정보, 기타 유사한 기밀 정보가 포함되지 않았고 가치 있는 정보를 얻을 수 있는 정보도 없다면서 자사 시스템과 프로세스는 설계대로 작동해 침입이 빠르게 종료되고 차단됐으며 해커에 사용된 유출된 자격 증명이 무효화됐다고 주장했다.
또 이번에 유출된 채팅 내용에서 라푸스$ 멤버는 런던시 경찰 발표가 있을 때 일거에 체포된 게 아니라 몇 개월에 걸쳐 순차적으로 체포되어 갔다고 보고하고 있다. 리더는 라푸스$ 멤버에 대해 상당히 강권적으로 행동하며 한 멤버에게는 학대 수준이었다고 한다.
라푸스$는 경찰에 의한 전자기기 압수에 대비해 해킹으로 훔친 데이터를 개인 기기는 아니고 클라우드에 보관하는 걸 결정하고 있었지만 3월말 AWS 서버 액세스가 차단 혐의로 훔친 데이터를 잃어버린 것도 채팅에 기록되어 있다. 리더는 압수된 서버에 저장된 T-모바일 소스 코드에 집중하고 있으며 다시 해킹에 시도했지만 T-모바일은 해킹에 사용된 액세스 토큰을 취소했기 때문에 이 시도는 실패로 끝났다고 한다.
이번에 라푸스$로부터 해킹이 밝혀진 T-모바일은 이전에도 3,000만 명분 고객 데이터가 해커 집단에 털려 20만 달러를 지불해 베타적 액세스 권리를 구입했음에도 불구하고 데이터가 암시장에서 계속 판매되고 있다. 관련 내용은 이곳에서 확인할 수 있다.