Salt Typhoon: de verborgen hand achter de Telecom Gift Card Scam?

Beveiligingsonderzoekers hebbengewaarschuwdjarenlang over de toenemende verfijning van door de staat gesponsorde hackinggroepen, met name die uit China.Typhoon familieVolt Typhoon, Flax Typhoon en Salt Typhoon – actief gericht op overheidsinstanties, kritieke infrastructuur en telecommunicatie-exploitanten in de VS

Een school van gedachte suggereert dat de Salt Typhoon hacktivist groep, gezien de neiging om telecom providers, kan de groep achter telecom-gerelateerdecadeaukaart scamsDeze wijdverspreide financiële fraude omvat ongeoorloofde toegang tot interne klantgegevens, inclusief saldi.

Meet the Typhoon Family: Members of China’s Cyber Espionage Team

·Volt Typhoon: The Stealth Operator

Volt tyfoonIn plaats van malware te verspreiden, is hun modus operandi live-off-the-land (LOTL), dat ingebouwde netwerkbeheertools gebruikt, zoals PowerShell en Windows Management Instrumentation (WMIC), om onopgemerkt te blijven door activiteit te maskeren als typisch Windows-systeem en netwerkgedrag, waardoor detectie wordt vermeden.

·Flax Typhoon: The Silent Observer

Tyfoon FlaxZe nemen duizenden internetgerelateerde apparaten over, zoals camera's, video-recorders en opslagapparaten, om een botnet te vormen dat ze gebruiken om systemen te helpen compromitteren en gevoelige informatie te stelen. Hun aanvallen worden vaak gevonden met bekende kwetsbaarheden in bedrijfsapplicaties.

·Salt Typhoon: The Telecom Intruder

Zout tyfoonHet is de meest relevante groep in dit geval. In tegenstelling tot Volt en Flax, Salt Typhoon specifiek gericht op Amerikaanse telecommunicatie providers. Het is in staat geweest om te breken bijna elke grote Amerikaanse telecommaatschappij, met inbegrip van die met mobiele en breedbanddiensten, voornamelijk door het exploiteren van kwetsbaarheden in netwerkhardware zoals routers en schakelaars.

Salt Typhoon overtreft ook AmerikaWettig gesanctioneerde interceptienetwerkenVolgens de Communications Assistance for Law Enforcement Act van 1994 (CALEA) moeten telecommaatschappijen hun netwerken ontwerpen om het opsporen van verdachte doelen onder actief toezicht te vergemakkelijken, zoals door CALEA is opgelegd.

Salt Typhoon met succesgebrokenCALEA-systemen bij verschillende grote telecommaatschappijen, waardoor ze de mogelijkheid hebben om te zien welke telefoonnummers momenteel onder toezicht staan, telefoongesprekken en tekstberichten van geselecteerde doelen af te sluiten, toegang tot metagegevens die de tijden van oproepen of teksten volgen en aan wie, de mobiele toren identificeren waaruit een communicatie is ontstaan, waarbij een doelwit een geschatte locatie onthult.

Hoewel het primaire doel van Salt Typhoon spionage lijkt te zijn, roept de toegang tot interne klantendatabases zorgen op over mogelijke financiële fraude.ZieAT&T en Spectrum konden saldi van klantenaccounts hebben geëxtraheerd, waardoor oplichters dienstverleners konden doen alsof ze slachtoffers manipuleren om deel te nemen aan frauduleuze transacties.

The Comcast Gift Card Scam: A Coordinated Cyber Attack?

DeComcast cadeaukaart scambetrekking heeft op oplichters die contact opnemen met abonnees en beweren dat ze in aanmerking komen voor een kortingspromotie. slachtoffers worden gevraagd om cadeaukaarten te kopen en het kaartnummer terug te lezen naar een service-vertegenwoordiger om hun prijs te claimen.

De grotere vraag hier is hoe oplichters zo'n gevoelige interne klantinformatie hebben verkregen.De oplichters hadden volledige informatie over klantenaccounts, inclusief plannen en saldi, iets dat alleen mogelijk is door middel van in-house kennis of door toegang te krijgen tot interne netwerken.Gezien Salt Typhoon's gerapporteerde penetratie van Amerikaanse telecomoperators, is het mogelijk dat ze ongepaste kwetsbaarheden exploiteerden, klantendatabases breken?

Salt Typhoon is bekend om credential-diefstaltechnieken te gebruiken, waardoor het lateral kan bewegen binnen netwerken. Eenmaal binnen de infrastructuur van Comcast, konden ze toegang hebben tot klantenserviceportaals om accountbalansen en persoonlijke gegevens op te halen. De geëxtraheerde Comcast-klantgegevens konden aan oplichters worden verkocht, waardoor ze slachtoffers konden richten met nauwkeurige accountgegevens (zoals de laatste vier betaalde betalingen en komende kosten) waardoor hun frauduleuze operaties gemakkelijk werden vergemakkelijkt.

How Companies Can Defend Against Such Attacks

Om de risico's van Salt Typhoon en soortgelijke APT-groepen te beperken, moeten telecomleveranciers:

•Implement Zero Trust security:Beperk de toegang tot privégegevens, zodat alleen goedgekeurd personeel de klantaccountinformatie kan zien.Segregeren van kritieke systemen om aanvallers te voorkomen dat ze het netwerk doorkruisen.Gebruik micro-segmentatie om de verspreiding van een aanval binnen interne netwerken te beperken.

•Enhance network visibility:Implementeer geavanceerde bedreigingsdetectiesystemen zoals AI-gedreven anomalie-detectie en gedragsanalyse om ongewone activiteit binnen interne databases te identificeren.

•Patch vulnerabilities promptly:Salt Typhoon richt zich op bekende beveiligingslekken, dus het is van cruciaal belang dat systemen regelmatig worden gepatcht.Implementeer CISA-aanbevolen beveiligingspatches voor telecommunicatie-infrastructuur.Creëer end-of-life strategieën voor technologieën buiten de ondersteunde levenscyclus van de fabrikant om systemen veilig te houden.

•Strengthen authentication mechanisms:Implementeer MFA voor alle interne systemen die klantinformatie verwerken. Implementeer MFA-oplossingen die kunnen weerstaanPhishingRoteer regelmatig administratieve credentials om aanvallers te voorkomen gestolen credentials te gebruiken voor laterale aanvallen.

•Educate customers about scams:Telecomleveranciers moeten klanten waarschuwen voor frauduleuze regelingen en moeten menselijk risicobeheer en beveiligingsbewustzijnstraining voor hun zakelijke klanten bevorderen om te helpen bij het identificeren en herkennen van verraderlijke tekenen van social engineering en phishing-pogingen.

Conclusion: A Plausible Theory Worth Investigating

Terwijl definitief bewijs dat Salt Typhoon verbindt met telecom cadeaukaartfraude momenteel ontbreekt, maakt circumstantieel bewijs een overtuigende zaak. Salt Typhoon heeft al veel telco's overtreden en hun expertise in netwerkinbraak en gegevensextractie plaatst hen als primaire verdachten. Als Salt Typhoon werkelijk verantwoordelijk is, markeert het een gevaarlijke nieuwe richting voor door de staat gesponsorde cybercriminaliteit waarin hackers financiële fraude faciliteren en niet alleen spionage. Aangezien cyberbeveiligingsbedreigingen blijven evolueren, moeten consumenten en bedrijven net zo waakzaam blijven, gevoelige informatie buiten bereik houden van tegenstanders nationaal-staatsactoren.