Badacze bezpieczeństwa mają od lat o rosnącej wyrafinowaniu sponsorowanych przez państwo grup hakerskich, zwłaszcza tych z Chin. Na radarze Kongresu Congress.gov jest słynny Typhoon Volt, Flax Typhoon i Salt Typhoon – aktywnie ukierunkowane na agencje rządowe, infrastrukturę krytyczną i operatorów telekomunikacyjnych w USA Ostrzeżenie Rodzina Tajfunów Jedna szkoła myślenia sugeruje, że grupa hakownicza Salt Typhoon, biorąc pod uwagę jego skłonność do dostawców usług telekomunikacyjnych, może być grupą za powiązanymi z telekomunikacją To powszechne oszustwo finansowe wiąże się z nieautoryzowanym dostępem do wewnętrznych zapisów klientów, w tym salda kont. Oszustwo karty podarunkowej Meet the Typhoon Family: Members of China’s Cyber Espionage Team Poznaj rodzinę tajfunów: członkowie chińskiego zespołu szpiegostwa cybernetycznego · Volt Typhoon: The Stealth Operator Zamiast rozprzestrzeniania złośliwego oprogramowania, ich modus operandi jest living-off-the-land (LOTL), który wykorzystuje wbudowane narzędzia administracji sieci, takie jak PowerShell i Windows Management Instrumentation (WMIC), aby pozostać niezauważonym przez maskowanie aktywności jako typowego systemu Windows i zachowania sieciowego, unikając w ten sposób wykrywania. Typhoon powoli · Flax Typhoon: The Silent Observer Celem jest szpiegostwo długoterminowe, nie tylko infrastruktury krytycznej, ale także szerokiej gamy organizacji, w tym instytucji rządowych i podmiotów handlowych. Przejmują tysiące urządzeń podłączonych do Internetu, takich jak kamery, nagrywarki wideo i urządzenia pamięci masowej, aby utworzyć botnet, który wykorzystują, aby pomóc kompromitować systemy i ukraść wrażliwe informacje. Ich ataki są powszechnie spotykane przy użyciu znanych luk w aplikacjach korporacyjnych. Ich niska i powolna strategia pozwala grupie utrzymać długoterminowy dostęp bez wykrywania przez zespoły bezpieczeństwa, wskazując, że grupa milcząco buduje dla przyszłych zakłóceń cybernetycznych. Tajfun Flax · Salt Typhoon: The Telecom Intruder W przeciwieństwie do Volt i Flax, Salt Typhoon celuje w szczególności na amerykańskich dostawców telekomunikacyjnych. Udało mu się złamać niemal każdą dużą amerykańską firmę telekomunikacyjną, w tym te obsługujące usługi mobilne i szerokopasmowe, głównie przez wykorzystanie luk w sprzęcie sieciowym, takim jak routery i przełączniki. Sól Tajfun Salt Typhoon zniszczył Amerykę Zgodnie z tym rozporządzeniem firmy telekomunikacyjne muszą zaprojektować swoje sieci w celu ułatwienia śledzenia podejrzanych celów pod aktywnym nadzorem zgodnie z mandatem CALEA. Prawnie sankcjonowane sieci przechwytywania Salt Typhoon z powodzeniem Systemy CALEA w kilku dużych firmach telekomunikacyjnych, dając im możliwość sprawdzenia, które numery telefonów były obecnie pod nadzorem, przechwytywania połączeń telefonicznych i wiadomości tekstowych z wybranych celów, dostępu do metadanych śledzących czas połączeń lub tekstów zostały wykonane i do kogo, identyfikacji wieży komórkowej, z której pochodzi komunikacja, ujawniając przybliżoną lokalizację celów. Złamany Chociaż głównym celem Salt Typhoon wydaje się być szpiegostwo, jego dostęp do wewnętrznych baz danych klientów budzi obawy o potencjalne oszustwa finansowe. AT&T i Spectrum mogły wyodrębnić saldo konta klienta, pozwalając oszustom udawać przedstawicieli usług i manipulować ofiarami w uczestnictwie w oszukańczych transakcjach. tak The Comcast Gift Card Scam: A Coordinated Cyber Attack? Scam karty podarunkowej Comcast: skoordynowany atak cybernetyczny? o Ofiary proszone są o zakup kart podarunkowych i odczytanie numeru karty z powrotem do przedstawiciela serwisu, aby uzyskać nagrodę. Darmowe karty scam Większym pytaniem jest, w jaki sposób oszuści uzyskali takie wrażliwe wewnętrzne informacje o klientach. Oszuści mieli kompletne informacje o kontach klientów, w tym planach i saldach, co jest możliwe tylko poprzez wiedzę wewnętrzną lub poprzez dostęp do wewnętrznych sieci. biorąc pod uwagę zgłoszone przez Salt Typhoon penetracje operatorów telekomunikacyjnych w USA, czy jest możliwe, że wykorzystywali nieopatrzone luki, łamiąc bazy danych klientów? Salt Typhoon jest znany z wykorzystywania technik kradzieży danych osobowych, co pozwala mu poruszać się wzdłuż sieci. Po wejściu do infrastruktury Comcast mogli oni uzyskać dostęp do portali obsługi klienta, aby odzyskać saldo konta i dane osobowe. How Companies Can Defend Against Such Attacks Jak firmy mogą bronić się przed takimi atakami Aby ograniczyć ryzyko związane z tajfunem solnym i podobnymi grupami APT, dostawcy telekomunikacyjni muszą: • Ogranicz dostęp do danych prywatnych, pozwalając tylko zatwierdzonym pracownikom na wyświetlanie informacji o koncie klienta. Segreguj krytyczne systemy, aby uniemożliwić atakującym przechodzenie przez sieć. Wykorzystaj mikro-segmentację, aby ograniczyć rozprzestrzenianie się ataku w sieciach wewnętrznych. Implement Zero Trust security: • Wdrażanie zaawansowanych systemów wykrywania zagrożeń, takich jak wykrywanie anomalii opartych na sztucznej inteligencji i analityka zachowania, w celu identyfikacji nietypowej aktywności w wewnętrznych bazach danych. Enhance network visibility: • Salt Typhoon ma na celu znane luki w zabezpieczeniach, dlatego ważne jest, aby systemy były regularnie poprawione. Wdrożenie patchów bezpieczeństwa zalecanych przez CISA dla infrastruktury telekomunikacyjnej. Stwórz strategie końcowe dla technologii poza wspieranym cyklem życia producenta, aby systemy były bezpieczne. Patch vulnerabilities promptly: • Wdrożenie MFA dla wszystkich wewnętrznych systemów przetwarzających informacje o klientach. Wdrożenie rozwiązań MFA, które mogą się oprzeć Regularne obracanie zaświadczeń administracyjnych, aby uniemożliwić atakującym korzystanie z skradzionych zaświadczeń do ataków bocznych. Strengthen authentication mechanisms: Phishing • Dostawcy usług telekomunikacyjnych powinni ostrzegać klientów przed oszukańczymi programami i powinni promować szkolenia z zakresu zarządzania ryzykiem ludzkim i świadomości bezpieczeństwa dla swoich klientów korporacyjnych, aby pomóc w identyfikacji i rozpoznawaniu niebezpiecznych oznak inżynierii społecznej i prób phishingowych. Educate customers about scams: Conclusion: A Plausible Theory Worth Investigating Konkluzja: Plausible Theory Worth Investigating Chociaż ostateczny dowód łączący Salt Typhoon z oszustwami na kartach podarunkowych telekomunikacyjnych jest obecnie nieobecny, okolicznościowe dowody sprawiają, że przypadek jest przekonujący. Salt Typhoon już złamał wiele telekomunikacji, a ich wiedza na temat ingerencji w sieci i ekstrakcji danych pozycjonuje ich jako głównych podejrzanych. Jeśli Salt Typhoon jest rzeczywiście odpowiedzialny, oznacza to niebezpieczny nowy kierunek dla cyberprzestępczości sponsorowanej przez państwo, w którym hakerzy ułatwiają oszustwa finansowe, a nie tylko szpiegostwo.
