Badacze bezpieczeństwa mająOstrzeżenieod lat o rosnącej wyrafinowaniu sponsorowanych przez państwo grup hakerskich, zwłaszcza tych z Chin. Na radarze Kongresu Congress.gov jest słynnyRodzina TajfunówTyphoon Volt, Flax Typhoon i Salt Typhoon – aktywnie ukierunkowane na agencje rządowe, infrastrukturę krytyczną i operatorów telekomunikacyjnych w USA
Jedna szkoła myślenia sugeruje, że grupa hakownicza Salt Typhoon, biorąc pod uwagę jego skłonność do dostawców usług telekomunikacyjnych, może być grupą za powiązanymi z telekomunikacjąOszustwo karty podarunkowejTo powszechne oszustwo finansowe wiąże się z nieautoryzowanym dostępem do wewnętrznych zapisów klientów, w tym salda kont.
Meet the Typhoon Family: Members of China’s Cyber Espionage Team
Poznaj rodzinę tajfunów: członkowie chińskiego zespołu szpiegostwa cybernetycznego·Volt Typhoon: The Stealth Operator
Typhoon powoliZamiast rozprzestrzeniania złośliwego oprogramowania, ich modus operandi jest living-off-the-land (LOTL), który wykorzystuje wbudowane narzędzia administracji sieci, takie jak PowerShell i Windows Management Instrumentation (WMIC), aby pozostać niezauważonym przez maskowanie aktywności jako typowego systemu Windows i zachowania sieciowego, unikając w ten sposób wykrywania.
·Flax Typhoon: The Silent Observer
Tajfun FlaxCelem jest szpiegostwo długoterminowe, nie tylko infrastruktury krytycznej, ale także szerokiej gamy organizacji, w tym instytucji rządowych i podmiotów handlowych. Przejmują tysiące urządzeń podłączonych do Internetu, takich jak kamery, nagrywarki wideo i urządzenia pamięci masowej, aby utworzyć botnet, który wykorzystują, aby pomóc kompromitować systemy i ukraść wrażliwe informacje. Ich ataki są powszechnie spotykane przy użyciu znanych luk w aplikacjach korporacyjnych. Ich niska i powolna strategia pozwala grupie utrzymać długoterminowy dostęp bez wykrywania przez zespoły bezpieczeństwa, wskazując, że grupa milcząco buduje dla przyszłych zakłóceń cybernetycznych.
·Salt Typhoon: The Telecom Intruder
Sól TajfunW przeciwieństwie do Volt i Flax, Salt Typhoon celuje w szczególności na amerykańskich dostawców telekomunikacyjnych. Udało mu się złamać niemal każdą dużą amerykańską firmę telekomunikacyjną, w tym te obsługujące usługi mobilne i szerokopasmowe, głównie przez wykorzystanie luk w sprzęcie sieciowym, takim jak routery i przełączniki.
Salt Typhoon zniszczył AmerykęPrawnie sankcjonowane sieci przechwytywaniaZgodnie z tym rozporządzeniem firmy telekomunikacyjne muszą zaprojektować swoje sieci w celu ułatwienia śledzenia podejrzanych celów pod aktywnym nadzorem zgodnie z mandatem CALEA.
Salt Typhoon z powodzeniemZłamanySystemy CALEA w kilku dużych firmach telekomunikacyjnych, dając im możliwość sprawdzenia, które numery telefonów były obecnie pod nadzorem, przechwytywania połączeń telefonicznych i wiadomości tekstowych z wybranych celów, dostępu do metadanych śledzących czas połączeń lub tekstów zostały wykonane i do kogo, identyfikacji wieży komórkowej, z której pochodzi komunikacja, ujawniając przybliżoną lokalizację celów.
Chociaż głównym celem Salt Typhoon wydaje się być szpiegostwo, jego dostęp do wewnętrznych baz danych klientów budzi obawy o potencjalne oszustwa finansowe.takAT&T i Spectrum mogły wyodrębnić saldo konta klienta, pozwalając oszustom udawać przedstawicieli usług i manipulować ofiarami w uczestnictwie w oszukańczych transakcjach.
The Comcast Gift Card Scam: A Coordinated Cyber Attack?
Scam karty podarunkowej Comcast: skoordynowany atak cybernetyczny?oDarmowe karty scamOfiary proszone są o zakup kart podarunkowych i odczytanie numeru karty z powrotem do przedstawiciela serwisu, aby uzyskać nagrodę.
Większym pytaniem jest, w jaki sposób oszuści uzyskali takie wrażliwe wewnętrzne informacje o klientach. Oszuści mieli kompletne informacje o kontach klientów, w tym planach i saldach, co jest możliwe tylko poprzez wiedzę wewnętrzną lub poprzez dostęp do wewnętrznych sieci. biorąc pod uwagę zgłoszone przez Salt Typhoon penetracje operatorów telekomunikacyjnych w USA, czy jest możliwe, że wykorzystywali nieopatrzone luki, łamiąc bazy danych klientów?
Salt Typhoon jest znany z wykorzystywania technik kradzieży danych osobowych, co pozwala mu poruszać się wzdłuż sieci. Po wejściu do infrastruktury Comcast mogli oni uzyskać dostęp do portali obsługi klienta, aby odzyskać saldo konta i dane osobowe.
How Companies Can Defend Against Such Attacks
Jak firmy mogą bronić się przed takimi atakamiAby ograniczyć ryzyko związane z tajfunem solnym i podobnymi grupami APT, dostawcy telekomunikacyjni muszą:
•Implement Zero Trust security:Ogranicz dostęp do danych prywatnych, pozwalając tylko zatwierdzonym pracownikom na wyświetlanie informacji o koncie klienta. Segreguj krytyczne systemy, aby uniemożliwić atakującym przechodzenie przez sieć. Wykorzystaj mikro-segmentację, aby ograniczyć rozprzestrzenianie się ataku w sieciach wewnętrznych.
•Enhance network visibility:Wdrażanie zaawansowanych systemów wykrywania zagrożeń, takich jak wykrywanie anomalii opartych na sztucznej inteligencji i analityka zachowania, w celu identyfikacji nietypowej aktywności w wewnętrznych bazach danych.
•Patch vulnerabilities promptly:Salt Typhoon ma na celu znane luki w zabezpieczeniach, dlatego ważne jest, aby systemy były regularnie poprawione. Wdrożenie patchów bezpieczeństwa zalecanych przez CISA dla infrastruktury telekomunikacyjnej. Stwórz strategie końcowe dla technologii poza wspieranym cyklem życia producenta, aby systemy były bezpieczne.
•Strengthen authentication mechanisms:Wdrożenie MFA dla wszystkich wewnętrznych systemów przetwarzających informacje o klientach. Wdrożenie rozwiązań MFA, które mogą się oprzećPhishingRegularne obracanie zaświadczeń administracyjnych, aby uniemożliwić atakującym korzystanie z skradzionych zaświadczeń do ataków bocznych.
•Educate customers about scams:Dostawcy usług telekomunikacyjnych powinni ostrzegać klientów przed oszukańczymi programami i powinni promować szkolenia z zakresu zarządzania ryzykiem ludzkim i świadomości bezpieczeństwa dla swoich klientów korporacyjnych, aby pomóc w identyfikacji i rozpoznawaniu niebezpiecznych oznak inżynierii społecznej i prób phishingowych.
Conclusion: A Plausible Theory Worth Investigating
Konkluzja: Plausible Theory Worth InvestigatingChociaż ostateczny dowód łączący Salt Typhoon z oszustwami na kartach podarunkowych telekomunikacyjnych jest obecnie nieobecny, okolicznościowe dowody sprawiają, że przypadek jest przekonujący. Salt Typhoon już złamał wiele telekomunikacji, a ich wiedza na temat ingerencji w sieci i ekstrakcji danych pozycjonuje ich jako głównych podejrzanych. Jeśli Salt Typhoon jest rzeczywiście odpowiedzialny, oznacza to niebezpieczny nowy kierunek dla cyberprzestępczości sponsorowanej przez państwo, w którym hakerzy ułatwiają oszustwa finansowe, a nie tylko szpiegostwo.
