Η T-Mobile λέει ότι οι Κινέζοι χάκερ “Salt Typhoon” που πρόσφατα παραβίασαν τα συστήματά της ως μέρος μιας σειράς παραβιάσεων των τηλεπικοινωνιών πρώτα εισέβαλαν σε ορισμένους από τους δρομολογητές της για να εξερευνήσουν τρόπους πλευρικής πλοήγησης στο δίκτυο.
Ωστόσο, η εταιρεία λέει ότι οι μηχανικοί της απέκλεισαν τους παράγοντες απειλών προτού μπορέσουν να εξαπλωθούν περαιτέρω στο δίκτυο και να αποκτήσουν πρόσβαση σε πληροφορίες πελατών.
Επίσης παρακολουθείται ως Earth Estries, FamousSparrow, Ghost Emperor και UNC2286, αυτή η κινεζική κρατική ομάδα απειλών δραστηριοποιείται τουλάχιστον από το 2019 και συνήθως εστιάζει στην παραβίαση κυβερνητικών οντοτήτων και εταιρειών τηλεπικοινωνιών στη Νοτιοανατολική Ασία.
Ο Jeff Simon, ο Chief Security Officer της εταιρείας, μοιράστηκε σε μια ανάρτηση ιστολογίου που δημοσιεύθηκε την Τετάρτη ότι η επίθεση των παραγόντων απειλής -που προερχόταν από το δίκτυο συνδεδεμένου παρόχου ενσύρματων γραμμών- σταμάτησε από την κυβερνοάμυνα της T-Mobile, συμπεριλαμβανομένης της προληπτικής παρακολούθησης και της τμηματοποίησης του δικτύου.
Η εταιρεία ανακάλυψε την παραβίαση αφού εντόπισε ύποπτη συμπεριφορά, συμπεριλαμβανομένων εντολών που χρησιμοποιούνται συνήθως στο στάδιο αναγνώρισης των κυβερνοεπιθέσεων που εκτελούνται σε ορισμένους από τους δρομολογητές της και εντολών που ταιριάζουν με δείκτες συμβιβασμού που είχαν συνδεθεί προηγουμένως με το Salt Typhoon, όπως είπε ο Simon Bloomberg.
“Πολλές αναφορές υποστηρίζουν ότι αυτοί οι κακοί παράγοντες έχουν αποκτήσει πρόσβαση σε πληροφορίες πελατών ορισμένων παρόχων για μεγάλο χρονικό διάστημα – τηλεφωνήματα, μηνύματα κειμένου και άλλες ευαίσθητες πληροφορίες, ιδιαίτερα από κυβερνητικούς αξιωματούχους. Αυτό δεν συμβαίνει στην T-Mobil.” Σάιμον είπε.
“Οι άμυνές μας προστάτευσαν τις ευαίσθητες πληροφορίες πελατών μας, απέτρεψαν οποιαδήποτε διακοπή των υπηρεσιών μας και εμπόδισαν την προώθηση της επίθεσης. Κακοί παράγοντες δεν είχαν πρόσβαση σε ευαίσθητα δεδομένα πελατών (συμπεριλαμβανομένων κλήσεων, φωνητικών μηνυμάτων ή μηνυμάτων κειμένου).
“Διακόψαμε γρήγορα τη συνδεσιμότητα με το δίκτυο του παρόχου καθώς πιστεύουμε ότι ήταν – και μπορεί να είναι ακόμα – σε κίνδυνο.”
Ο CSO της T-Mobile πρόσθεσε ότι η εταιρεία δεν βλέπει πλέον κανέναν επιτιθέμενο ενεργό στο δίκτυό της και έχει μοιραστεί τα ευρήματά της με την κυβέρνηση και τους εταίρους του κλάδου.
Παραβιάστηκε σε πρόσφατες τηλεπικοινωνιακές επιθέσεις Salt Typhoon
Η σημερινή δήλωση της T-Mobile ακολουθεί την ανακοίνωση της εταιρείας πριν από δύο εβδομάδες ότι τα συστήματά της παραβιάστηκαν σε ένα πρόσφατο κύμα παραβιάσεων των τηλεπικοινωνιών Salt Typhoon.
Η CISA και το FBI επιβεβαίωσαν τις παραβιάσεις στα τέλη Οκτωβρίου μετά από αναφορές ότι η κινεζική ομάδα απειλών παραβίασε πολλούς παρόχους ευρυζωνικότητας, συμπεριλαμβανομένων των AT&T, Verizon και Lumen Technologies.
Οι δύο ομοσπονδιακές υπηρεσίες αποκάλυψαν αργότερα ότι οι επιτιθέμενοι παραβίασαν τις “ιδιωτικές επικοινωνίες” ενός “περιορισμένου αριθμού” κυβερνητικών αξιωματούχων, έκλεψαν αρχεία κλήσεων πελατών και δεδομένα αιτημάτων επιβολής του νόμου και απέκτησαν πρόσβαση στην πλατφόρμα υποκλοπών της κυβέρνησης των ΗΠΑ.
Παρόλο που είναι άγνωστο πότε παραβιάστηκαν για πρώτη φορά τα δίκτυα των τηλεπικοινωνιακών κολοσσών, οι Κινέζοι χάκερ είχαν πρόσβαση «για μήνες ή περισσότερο», σύμφωνα με έκθεση της WSJ. Αυτό τους επέτρεψε να συλλέγουν και να κλέβουν τεράστιες ποσότητες “διαδικτυακής κίνησης από παρόχους υπηρεσιών Διαδικτύου που υπολογίζουν μεγάλες και μικρές επιχειρήσεις και εκατομμύρια Αμερικανούς ως πελάτες τους”, σύμφωνα με άτομα που γνωρίζουν το θέμα.
Καναδάς αποκαλύφθηκε επίσης Τον περασμένο μήνα, πολλές από τις υπηρεσίες και τα τμήματα της χώρας, συμπεριλαμβανομένων των ομοσπονδιακών πολιτικών κομμάτων, της Γερουσίας και της Βουλής των Κοινοτήτων, στοχοποιήθηκαν σε ευρείες σαρώσεις δικτύου που συνδέονται με ανώνυμους κινεζικούς κρατικούς χάκερ.
Σε παρόμοιες, αν και πιθανές άσχετες επιθέσεις, η κινεζική ομάδα απειλών Volt Typhoon παρακολούθησε και χακάρισε πολλούς ISP και MSP στις Ηνωμένες Πολιτείες και την Ινδία, αφού παραβίασε τα εταιρικά τους δίκτυα χρησιμοποιώντας διαπιστευτήρια που είχαν κλαπεί από επιθέσεις zero-day του Versa Director.
VIA: bleepingcomputer.com
