A T-Mobile afirmou que hackers do grupo chinês "Salt Typhoon", que recentemente comprometeram seus sistemas como parte de uma série de violações em telecomunicações, inicialmente invadiram alguns de seus roteadores para explorar formas de navegar lateralmente pela rede.
No entanto, a empresa diz que seus engenheiros bloquearam os atores de ameaças antes que pudessem se espalhar mais pela rede e acessar informações de clientes.
Também acompanhado como Earth Estries, FamousSparrow, Ghost Emperor e UNC2286, este grupo de ameaça patrocinado pelo estado chinês está ativo desde pelo menos 2019 e geralmente se concentra em violar entidades governamentais e empresas de telecomunicações no Sudeste Asiático.
Jeff Simon, o chefe de segurança (Chief Security Officer - CSO) da empresa, compartilhou em um post de blog publicado na quarta-feira que o ataque dos atores de ameaças, originando-se da rede de um provedor de wireline conectado, foi interrompido pelas defesas cibernéticas da T-Mobile, incluindo monitoramento proativo e segmentação de rede.
A empresa descobriu a violação após detectar comportamento suspeito, incluindo comandos geralmente usados na fase de reconhecimento de ciberataques sendo executados em alguns de seus roteadores e comandos que correspondem a indicadores de comprometimento previamente ligados ao Salt Typhoon, como Simon informou à Bloomberg.
"Muitos relatórios afirmam que esses malfeitores tiveram acesso às informações de clientes de alguns provedores por um período prolongado de tempo – chamadas telefônicas, mensagens de texto e outras informações sensíveis, particularmente de oficiais do governo. Isso não é o caso na T-Mobile", disse Simon.
"Nossas defesas protegeram nossas informações sensíveis de clientes, preveniram qualquer interrupção de nossos serviços e impediram o avanço do ataque.
Os malfeitores não tiveram acesso a dados sensíveis dos clientes (incluindo chamadas, correios de voz ou textos).Rapidamente cortamos a conectividade com a rede do provedor pois acreditamos que estava – e talvez ainda esteja – comprometida."
O CSO da T-Mobile adicionou que a empresa não vê mais nenhum atacante ativo dentro de sua rede e compartilhou suas descobertas com o governo e parceiros do setor.
A declaração da T-Mobile de hoje segue o anúncio da empresa, duas semanas atrás, de que seus sistemas foram comprometidos em uma recente onda de violações de telecomunicações do Salt Typhoon.
A CISA e o FBI confirmaram as violações no final de outubro, após relatos de que o grupo de ameaças chinês violou vários provedores de banda larga, incluindo AT&T, Verizon e Lumen Technologies.
As duas agências federais mais tarde revelaram que os invasores comprometeram as "comunicações privadas" de um "número limitado" de oficiais do governo, roubaram registros de chamadas de clientes e dados de solicitações de aplicação da lei, e ganharam acesso à plataforma de escutas telefônicas do governo dos EUA.
Embora seja desconhecido quando as redes dos gigantes de telecomunicações foram violadas pela primeira vez, os hackers chineses tiveram acesso "por meses ou mais", de acordo com um relatório do WSJ.
Isso permitiu que coletassem e roubassem vastas quantidades de "tráfego de internet de provedores de serviços de internet que contam com empresas grandes e pequenas, e milhões de americanos, como seus clientes", de acordo com pessoas familiarizadas com o assunto.
O Canadá também revelou no mês passado que muitas das agências e departamentos do país, incluindo partidos políticos federais, o Senado e a Câmara dos Comuns, foram alvo de varreduras amplas de rede ligadas a hackers do estado chinês não nomeados.
Em ataques similares, embora provavelmente não relacionados, o grupo de ameaças chinês Volt Typhoon rastreou e hackeou vários ISPs e MSPs nos Estados Unidos e na Índia após invadir suas redes corporativas usando credenciais roubadas em ataques zero-day do Versa Director.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...