보안 연구자들은경고몇 년 동안 정부가 후원하는 해킹 그룹의 증가하는 정교성에 대해, 특히 중국의 해킹 그룹.태풍 가족Volt Typhoon, Flax Typhoon, Salt Typhoon - 미국의 정부 기관, 중요한 인프라 및 통신 사업자를 적극적으로 타겟팅
하나의 사고 학교는 소금 태풍 해킹 그룹이 통신 공급 업체에 대한 경향이 있기 때문에 통신 관련 그룹이 될 수 있음을 제안합니다.선물 카드 사기이 광범위한 금융 사기에는 계좌 잔액을 포함한 내부 고객 기록에 대한 무단 액세스가 포함됩니다.
Meet the Typhoon Family: Members of China’s Cyber Espionage Team
태풍 가족을 만나다: 중국 사이버 스파이 팀의 구성원·Volt Typhoon: The Stealth Operator
타이완 Volt통신, 에너지 및 교통 부문을 포함한 미국의 중요한 인프라를 가장 자주 타겟팅하는 국가가 지원하는 사이버 범죄 그룹입니다. 웨어를 확산하는 대신, 그들의 modus operandi는 라이브-off-the-Land (LOTL)로, PowerShell 및 Windows Management Instrumentation (WMIC)와 같은 내장 네트워크 관리 도구를 사용하여 일반적인 Windows 시스템 및 네트워크 행동으로 활동을 마스크함으로써 감지되지 않도록 유지합니다. 그들의 최종 게임 전략은 지정 정치적 긴장이 상승하는 경우 사이버 공격을 덮기 위해 OT 자산에 측면 이동을 촉진하기 위해 IT 네트워크에 자신을 미리 배치하는 것으로 보입니다.
·Flax Typhoon: The Silent Observer
플래시 태풍그들은 장기적인 스파이를 목표로, 중요한 인프라뿐만 아니라 정부 기관 및 상업 단체를 포함한 다양한 조직을 대상으로합니다. 그들은 카메라, 비디오 레코더 및 저장 장치와 같은 인터넷에 연결된 장치의 수천을 차지하여 시스템을 위협하고 민감한 정보를 훔치는 데 도움이되는 봇넷을 형성합니다. 그들의 공격은 일반적으로 기업 응용 프로그램에서 알려진 취약점을 사용하여 발견됩니다. 그들의 낮고 느린 전략은 그룹이 보안 팀에 의해 감지되지 않고 장기적인 액세스를 유지할 수 있습니다.
·Salt Typhoon: The Telecom Intruder
소금 태풍이 경우 가장 관련된 그룹입니다.Volt와 Flax와 달리 Salt Typhoon은 미국의 통신 공급 업체를 구체적으로 타겟팅하고 있으며, 주로 라우터와 스위치와 같은 네트워크 하드웨어의 취약점을 이용함으로써 모바일 및 광대역 서비스를 처리하는 사람들을 포함하여 거의 모든 주요 미국 통신 회사를 침해 할 수있었습니다.
소금 태풍도 미국을 침범했다.법적으로 처벌받은 납치 네트워크이 규정에 따라 통신 회사는 CALEA가 명령한 대로 적극적인 감시하에 의심스러운 표적을 파악하는 것을 촉진하기 위해 네트워크를 설계해야합니다.이 기록에는 통화 타이밍, 길이 및 대화에 관여하는 당사자와 통화 추적 및 여행 패턴을 추적하는 데 사용되는 지리적 위치 정보가 포함됩니다.
소금 태풍 성공깨진여러 주요 통신 회사의 CALEA 시스템은 현재 모니터링 중인 전화 번호를 볼 수있는 능력을 부여하고, 선택한 타겟에서 전화 및 텍스트 메시지를 차단하고, 전화 또는 텍스트가 수행 된 시간을 추적하는 메타데이터에 액세스하고, 통신이 시작된 셀 타워를 식별하고, 타겟의 대략적인 위치를 밝힙니다.
소금 태풍의 주요 목표는 스파이로 보일지라도 내부 고객 데이터베이스에 대한 접근은 잠재적 인 재정적 사기에 대한 우려를 불러 일으킨다.그럼AT&T와 Spectrum은 고객 계좌 잔액을 추출하여 사기꾼이 서비스 대표자를 척하고 피해자를 사기 거래에 참여시키도록 조작 할 수있었습니다.
The Comcast Gift Card Scam: A Coordinated Cyber Attack?
Comcast 선물 카드 사기 : 조정 된 사이버 공격?이상품명 Comcast Gift Card Scam사기꾼은 가입자와 연락하여 할인 프로모션에 자격이 있다고 주장합니다.피해자는 선물 카드를 구입하고 카드 번호를 서비스 담당자에게 다시 읽어 보상을 요구하기 위해 요청됩니다.그러나 선물 카드 번호를 얻은 후 사기꾼은 돈을 잃게됩니다.
여기서 더 큰 질문은 사기꾼이 어떻게 그러한 민감한 내부 고객 정보를 얻었는지입니다.이 사기꾼은 고객 계정에 대한 완전한 정보를 가지고 있으며, 계획과 균형을 포함하여 내부 지식이나 내부 네트워크에 액세스함으로써만 가능합니다.Salt Typhoon이 미국 통신 사업자에 대한 통신을보고했을 때, 그들이 패치되지 않은 취약점을 이용하여 고객 데이터베이스를 침해했을 가능성이 있습니까?
Salt Typhoon은 인증 도난 기술을 사용하여 네트워크 내에서 측면으로 이동할 수 있다는 것으로 알려져 있습니다. Comcast의 인프라 내부에 들어가면 고객 서비스 포털에 액세스하여 계좌 잔액과 개인 정보를 검색 할 수 있습니다. 추출 된 Comcast 고객 데이터는 사기꾼에게 판매되었을 수있어 희생자들에게 정확한 계좌 세부 사항 (최근 4 개의 지불 및 다가오는 요금과 같은)을 대상으로 할 수 있습니다.
How Companies Can Defend Against Such Attacks
기업들이 그러한 공격으로부터 어떻게 방어할 수 있습니까?소금 태풍 및 유사한 APT 그룹의 위험을 완화하기 위해, 통신 공급자는 다음을해야합니다:
·Implement Zero Trust security:개인 데이터에 대한 액세스를 제한하여 승인된 직원이 고객 계정 정보를 볼 수 있도록 해줍니다.중요한 시스템을 분리하여 공격자가 네트워크를 통과하지 않도록합니다.Micro-segmentation을 사용하여 내부 네트워크 내에서 공격의 확산을 제한하십시오.
·Enhance network visibility:AI-driven anomaly detection 및 behavioral analytics와 같은 고급 위협 탐지 시스템을 배포하여 내부 데이터베이스 내에서 비정상적인 활동을 식별합니다.
·Patch vulnerabilities promptly:Salt Typhoon은 알려진 보안 취약점을 목표로 하므로 시스템을 정기적으로 수정하는 것이 중요합니다.CISA가 권장하는 통신 인프라에 대한 보안 패치를 구현합니다.제조업체가 지원하는 라이프 사이클 이외의 기술에 대한 생애 종료 전략을 생성하여 시스템을 안전하게 유지하십시오.
·Strengthen authentication mechanisms:고객 정보를 처리하는 모든 내부 시스템에 MFA를 구현합니다.Implement MFA solutions that can resist피싱추가적으로 계정을 안전하게 유지하기 위해 정기적으로 관리 자격 증명을 회전하여 공격자가 측면 공격을 위해 도난당한 자격 증명을 사용하지 않도록 한다.
·Educate customers about scams:텔레콤 공급자는 고객에게 사기 계획에 대해 경고해야하며 기업 고객을위한 인간 위험 관리 및 보안 인식 교육을 옹호하여 소셜 엔지니어링 및 피싱 시도의 신호 신호를 식별하고 인식해야합니다.
Conclusion: A Plausible Theory Worth Investigating
결론 : 조사할 가치가있는 확실한 이론Salt Typhoon은 이미 많은 telcos를 침해하고 있으며, 네트워크 침입 및 데이터 추출에 대한 전문 지식은 그들을 주요 용의자로 위치시킵니다. Salt Typhoon이 실제로 책임이 있다면 해커가 금융 사기를 촉진하고 단순히 스파이징이 아닙니다. 사이버 보안 위협이 계속 진화함에 따라 소비자와 비즈니스는 민감한 정보를 상대방 국가 행위자로부터 도달 할 수없는 위험한 새로운 방향을 표시합니다.
