Os pesquisadores de segurança têmAdvertênciadurante anos sobre a crescente sofisticação dos grupos de hackers patrocinados pelo Estado, particularmente aqueles da China.No radar do Congress.gov Congressional Record é o infameFamília TyphoonVolt Typhoon, Flax Typhoon e Salt Typhoon – ativamente visando agências governamentais, infraestruturas críticas e operadores de telecomunicações nos EUA.
Uma escola de pensamento sugere que o grupo hacktivista de Salt Typhoon, dada sua inclinação para provedores de telecomunicações, pode ser o grupo por trás de telecomunicações relacionadasCartão de doação fraudulentoEsta fraude financeira generalizada envolve o acesso não autorizado a registros internos de clientes, incluindo saldos de contas.
Meet the Typhoon Family: Members of China’s Cyber Espionage Team
Conheça a família do tufão: membros da equipe de espionagem cibernética da China·Volt Typhoon: The Stealth Operator
Tifão VoltÉ um grupo de cibercrime apoiado pelo estado que geralmente visa infraestruturas críticas dos EUA, incluindo os setores de comunicação, energia e transporte. Em vez de espalhar malware, seu modus operandi é living-off-the-land (LOTL), que utiliza ferramentas de administração de rede incorporadas, como PowerShell e Windows Management Instrumentation (WMIC), para permanecer indetectado por mascarar a atividade como o comportamento típico do sistema Windows e da rede, evitando assim a detecção.
·Flax Typhoon: The Silent Observer
Tifão FlaxEles tomam conta de milhares de dispositivos conectados à Internet, como câmeras, gravadores de vídeo e dispositivos de armazenamento, para formar uma botnet que eles usam para ajudar a comprometer sistemas e roubar informações sensíveis. Seus ataques são comumente encontrados usando vulnerabilidades conhecidas em aplicações corporativas. Sua estratégia baixa e lenta permite que o grupo mantenha acesso a longo prazo sem ser detectado por equipes de segurança, indicando que o grupo está silenciosamente construindo para futuras perturbações cibernéticas.
·Salt Typhoon: The Telecom Intruder
Tifão de salÉ o grupo mais relevante neste caso. Ao contrário de Volt e Flax, Salt Typhoon tem como alvo especificamente provedores de telecomunicações dos EUA. Ele tem sido capaz de quebrar quase todas as principais empresas de telecomunicações dos EUA, incluindo aqueles que lidam com serviços móveis e de banda larga, principalmente por explorar vulnerabilidades no hardware de rede, como roteadores e switches.
Tufão de sal também atingiu os Estados UnidosRedes de interceptação legalmente sancionadasDe acordo com este regulamento, as empresas de telecomunicações devem projetar suas redes para facilitar o encaminhamento de alvos suspeitos sob vigilância ativa, conforme mandado pela CALEA.
Tufão de sal com sucessoquebradoSistemas CALEA em várias grandes empresas de telecomunicações, concedendo-lhes a capacidade de ver quais números de telefone estavam atualmente sob vigilância, interceptar chamadas telefônicas e mensagens de texto de alvos escolhidos, acessar metadados rastreando os tempos de chamadas ou textos foram feitos e para quem, identificar a torre celular a partir da qual uma comunicação originou, revelando um alvo localização aproximada.
Enquanto o objetivo principal do Salt Typhoon parece ser espionagem, seu acesso a bancos de dados internos de clientes levanta preocupações sobre potenciais fraudes financeiras.AssimA AT&T e a Spectrum poderiam ter extraído saldos de contas de clientes, permitindo que os golpistas fingissem representantes de serviços e manipulassem as vítimas para participarem de transações fraudulentas.
The Comcast Gift Card Scam: A Coordinated Cyber Attack?
O Comcast Gift Card Scam: um ataque cibernético coordenado?OCartão de presente Scamenvolve golpistas contatando assinantes e afirmando que eles se qualificam para uma promoção de desconto. As vítimas são solicitadas a comprar cartões-presente e ler o número do cartão de volta para um representante de serviço, a fim de reivindicar o seu prêmio.
A pergunta maior aqui é como os golpistas obtiveram informações internas tão sensíveis sobre os clientes. Os golpistas tinham informações completas sobre as contas dos clientes, incluindo planos e saldos, algo que é possível apenas através de conhecimento interno ou acessando redes internas. Considerando a penetração relatada por Salt Typhoon de operadores de telecomunicações dos EUA, é possível que eles explorassem vulnerabilidades não corrigidas, quebrando bancos de dados de clientes?
Salt Typhoon é conhecido por empregar técnicas de roubo de credenciais, permitindo que ele se mova lateralmente dentro das redes. Uma vez dentro da infraestrutura da Comcast, eles poderiam ter acessado portais de atendimento ao cliente para recuperar saldos de contas e detalhes pessoais. Os dados do cliente extraídos da Comcast poderiam ter sido vendidos a golpistas, permitindo-lhes direcionar as vítimas com detalhes precisos da conta (como os últimos quatro pagamentos feitos e as taxas vindouras), facilitando assim facilmente suas operações de fraude.
How Companies Can Defend Against Such Attacks
Como as empresas podem se defender de tais ataquesPara mitigar os riscos do tufão de sal e grupos APT semelhantes, os fornecedores de telecomunicações devem:
• OImplement Zero Trust security:Limite o acesso a dados privados, permitindo que apenas funcionários aprovados vejam as informações da conta do cliente. Segregue sistemas críticos para impedir que os atacantes atravessem a rede. Utilize micro-segmentação para conter a propagação de um ataque dentro das redes internas.
• OEnhance network visibility:Implementar sistemas avançados de detecção de ameaças, como detecção de anomalias impulsionada por IA e análise comportamental para identificar atividades incomuns dentro de bancos de dados internos.
• OPatch vulnerabilities promptly:Salt Typhoon tem como alvo vulnerabilidades de segurança conhecidas, por isso é crucial manter os sistemas atualizados regularmente. Implementar patches de segurança recomendados pela CISA para a infraestrutura de telecomunicações. Criar estratégias de fim de vida para tecnologias fora do ciclo de vida suportado pelo fabricante para manter os sistemas seguros.
• OStrengthen authentication mechanisms:Implementar MFA para todos os sistemas internos que processam informações do cliente. Implementar soluções MFA que podem resistirPhishing emRotate credenciais administrativas regularmente para impedir que os atacantes usem credenciais roubadas para ataques laterais.
• OEducate customers about scams:Os fornecedores de telecomunicações devem alertar os clientes sobre esquemas fraudulentos e devem promover treinamento de gestão de risco humano e conscientização de segurança para seus clientes corporativos para ajudar a identificar e reconhecer sinais de engenharia social e tentativas de phishing.
Conclusion: A Plausible Theory Worth Investigating
Conclusão: Uma teoria plausível vale a pena investigarEnquanto evidências definitivas ligando o Salt Typhoon às fraudes de cartões de presente de telecomunicações estão atualmente ausentes, evidências circunstâncias tornam um caso persuasivo. O Salt Typhoon já quebrou muitos telcos, e sua experiência em intrusão de rede e extração de dados os coloca como principais suspeitos. Se o Salt Typhoon é realmente responsável, marca uma nova direção perigosa para o cibercrime patrocinado pelo Estado em que os hackers facilitam a fraude financeira e não apenas a espionagem. À medida que as ameaças à cibersegurança continuam a evoluir, os consumidores e as empresas devem permanecer vigilantes, mantendo informações sensíveis fora do alcance de atores adversários nacionais-estados.
