Los investigadores de seguridad hanAdvertenciadurante años sobre la creciente sofisticación de los grupos de hacking patrocinados por el estado, en particular de China.Familia de tifonesTyphoon Volt, Flax Typhoon, y Salt Typhoon —activamente apuntando a las agencias gubernamentales, infraestructuras críticas y operadores de telecomunicaciones en los Estados Unidos.
Una escuela de pensamiento sugiere que el grupo hacktivista de Salt Typhoon, dada su inclinación por los proveedores de telecomunicaciones, puede ser el grupo detrás de telecomunicaciones relacionadasEscándalos de tarjetas de regaloEste fraude financiero generalizado implica el acceso no autorizado a los registros internos de los clientes, incluidos los saldos de la cuenta.
Meet the Typhoon Family: Members of China’s Cyber Espionage Team
Conoce a la familia del tifón: miembros del equipo de espionaje cibernético de China· ElVolt Typhoon: The Stealth Operator
Un tifónEs un grupo de ciberdelincuencia respaldado por el estado que a menudo se dirige a las infraestructuras críticas de Estados Unidos, incluidos los sectores de las comunicaciones, la energía y el transporte. En lugar de propagar malware, su modus operandi es Living-off-the-Land (LOTL), que utiliza herramientas de administración de red integradas, como PowerShell y Windows Management Instrumentation (WMIC), para permanecer indetectadas por la mascarada de la actividad como sistema y comportamiento de red típicos de Windows, evitando así la detección. Su estrategia de juego final parece estar pre-posicionándose en las redes de TI para facilitar el movimiento lateral a los activos de OT para crippling ataques cibernéticos en caso de creciente tensión geopolítica.
· ElFlax Typhoon: The Silent Observer
El tifón FlaxTienen como objetivo la espionaje a largo plazo, no sólo las infraestructuras críticas, sino también una amplia gama de organizaciones, incluidas instituciones gubernamentales y entidades comerciales. Asumen miles de dispositivos conectados a Internet como cámaras, grabadores de vídeo y dispositivos de almacenamiento, para formar una botnet que utilizan para ayudar a comprometer sistemas y robar información sensible. Sus ataques se encuentran comúnmente utilizando vulnerabilidades conocidas en aplicaciones empresariales. Su estrategia baja y lenta permite al grupo mantener el acceso a largo plazo sin ser detectado por equipos de seguridad, indicando que el grupo está construyendo silenciosamente para futuras perturbaciones cibernéticas.
· ElSalt Typhoon: The Telecom Intruder
El tifón saladoEs el grupo más relevante en este caso. A diferencia de Volt y Flax, Salt Typhoon se dirige específicamente a proveedores de telecomunicaciones estadounidenses. ha sido capaz de violar casi todas las principales compañías de telecomunicaciones estadounidenses, incluidas aquellas que manejan servicios móviles y de banda ancha, principalmente mediante la explotación de vulnerabilidades en hardware de red como routers y interruptores.
El tifón de sal también afectó a Estados UnidosRedes de intercepción legalmente sancionadasEn virtud de este reglamento, las compañías de telecomunicaciones deben diseñar sus redes para facilitar la identificación de objetivos sospechosos bajo vigilancia activa como lo mandaba CALEA. Esto incluye registros de llamadas que proporcionan el momento, la duración y las partes involucradas en las conversaciones, junto con información de geolocalización utilizada para rastrear llamadas y patrones de viaje.
Un tifón de sal con éxitorompiendoLos sistemas CALEA de varias grandes compañías de telecomunicaciones, otorgándoles la capacidad de ver qué números de teléfono estaban actualmente bajo vigilancia, interceptar llamadas telefónicas y mensajes de texto de objetivos elegidos, acceder a metadatos que rastrean los tiempos de las llamadas o textos se realizaron y a quién, identificar la torre celular desde la que surgió la comunicación, revelando una ubicación aproximada de los objetivos.
Mientras que el objetivo principal de Salt Typhoon parece ser la espionaje, su acceso a las bases de datos de clientes internos plantea preocupaciones sobre el potencial fraude financiero.yAT&T y Spectrum podrían haber extraído saldos de cuentas de clientes, permitiendo a los estafadores fingir representantes de servicio y manipular a las víctimas para participar en transacciones fraudulentas.
The Comcast Gift Card Scam: A Coordinated Cyber Attack?
El escándalo de tarjetas regalo de Comcast: ¿un ataque cibernético coordinado?ElTarjetas de regalo Scaminvolucra a los estafadores contactando con suscriptores y alegando que se califican para una promoción de descuento. Las víctimas se les pide comprar tarjetas regalo y leer el número de la tarjeta de vuelta a un representante de servicio para reclamar su premio. Una vez que obtienen los números de tarjetas regalo, sin embargo, los estafadores los pagan, y las víctimas pierden dinero.
La pregunta más grande aquí es cómo los estafadores obtuvieron información interna del cliente tan sensible.Los delincuentes tenían información completa sobre las cuentas de los clientes, incluyendo planes y saldos, algo que es posible sólo a través del conocimiento de los insiders o al acceder a las redes internas.Teniendo en cuenta la penetración reportada de Salt Typhoon a los operadores de telecomunicaciones de EE.UU., ¿es posible que explotaran vulnerabilidades no corregidas, infringiendo las bases de datos de los clientes?
Salt Typhoon es conocido por emplear técnicas de robo de credenciales, lo que le permite moverse lateralmente dentro de las redes. Una vez dentro de la infraestructura de Comcast, podrían haber accedido a los portales de servicio al cliente para recuperar saldos de cuentas y datos personales. Los datos extraídos de los clientes de Comcast podrían haber sido vendidos a los estafadores, lo que les permitió dirigirse a las víctimas con detalles de cuentas precisos (como los últimos cuatro pagos realizados y los gastos futuros) facilitando así fácilmente sus operaciones de fraude.
How Companies Can Defend Against Such Attacks
Cómo pueden las empresas defenderse de tales ataquesPara mitigar los riesgos de Salt Typhoon y grupos APT similares, los proveedores de telecomunicaciones deben:
• ElImplement Zero Trust security:Limite el acceso a los datos privados, permitiendo que solo el personal aprobado vea la información de la cuenta del cliente. Segregue los sistemas críticos para evitar que los atacantes crucen la red. Emplee la micro-segmentación para contener la propagación de un ataque dentro de las redes internas.
• ElEnhance network visibility:Implementar sistemas avanzados de detección de amenazas como la detección de anomalías impulsada por la IA y el análisis de comportamiento para identificar la actividad inusual dentro de las bases de datos internas.
• ElPatch vulnerabilities promptly:Salt Typhoon se dirige a vulnerabilidades de seguridad conocidas, por lo que es crucial mantener los sistemas actualizados regularmente. Implementar los parches de seguridad recomendados por CISA para la infraestructura de telecomunicaciones. Crear estrategias de fin de vida para tecnologías fuera del ciclo de vida soportado por el fabricante para mantener los sistemas seguros.
• ElStrengthen authentication mechanisms:Implementar MFA para todos los sistemas internos que procesan la información del cliente. Implementar soluciones MFA que pueden resistirEl phishingRotate las credenciales administrativas regularmente para evitar que los atacantes utilicen las credenciales robadas para ataques laterales.
• ElEducate customers about scams:Los proveedores de telecomunicaciones deben advertir a los clientes sobre los esquemas fraudulentos y deben abogar por la gestión de riesgos humanos y la formación de conciencia de seguridad para sus clientes corporativos para ayudar a identificar y reconocer los signos falsos de la ingeniería social y los intentos de phishing.
Conclusion: A Plausible Theory Worth Investigating
Conclusión: Una teoría plausible vale la pena investigarMientras que la evidencia definitiva de la conexión de Salt Typhoon con las estafas de tarjetas regalo de telecomunicaciones está actualmente ausente, la evidencia circunstancial hace que sea un caso convincente. Salt Typhoon ya ha infringido muchos telcos, y su experiencia en intrusión de red y extracción de datos los coloca como principales sospechosos. Si Salt Typhoon es realmente responsable, marca una nueva dirección peligrosa para el cibercrimen patrocinado por el estado en el que los hackers facilitan el fraude financiero y no sólo la espionaje. A medida que las amenazas de ciberseguridad continúan evolucionando, los consumidores y las empresas deben permanecer atentos, manteniendo la información sensible fuera del alcance de los actores nacionales-estados adversarios.
