A T-Mobile afirmou que hackers do grupo chinês "Salt Typhoon", que recentemente comprometeram seus sistemas como parte de uma série de violações em telecomunicações, inicialmente invadiram alguns de seus roteadores para explorar formas de navegar lateralmente pela rede.
No entanto, a empresa diz que seus engenheiros bloquearam os atores de ameaças antes que pudessem se espalhar mais pela rede e acessar informações de clientes.
Também acompanhado como Earth Estries, FamousSparrow, Ghost Emperor e UNC2286, este grupo de ameaça patrocinado pelo estado chinês está ativo desde pelo menos 2019 e geralmente se concentra em violar entidades governamentais e empresas de telecomunicações no Sudeste Asiático.
Jeff Simon, o chefe de segurança (Chief Security Officer - CSO) da empresa, compartilhou em um post de blog publicado na quarta-feira que o ataque dos atores de ameaças, originando-se da rede de um provedor de wireline conectado, foi interrompido pelas defesas cibernéticas da T-Mobile, incluindo monitoramento proativo e segmentação de rede.
A empresa descobriu a violação após detectar comportamento suspeito, incluindo comandos geralmente usados na fase de reconhecimento de ciberataques sendo executados em alguns de seus roteadores e comandos que correspondem a indicadores de comprometimento previamente ligados ao Salt Typhoon, como Simon informou à Bloomberg.
"Muitos relatórios afirmam que esses malfeitores tiveram acesso às informações de clientes de alguns provedores por um período prolongado de tempo – chamadas telefônicas, mensagens de texto e outras informações sensíveis, particularmente de oficiais do governo. Isso não é o caso na T-Mobile", disse Simon.
"Nossas defesas protegeram nossas informações sensíveis de clientes, preveniram qualquer interrupção de nossos serviços e impediram o avanço do ataque.
Os malfeitores não tiveram acesso a dados sensíveis dos clientes (incluindo chamadas, correios de voz ou textos).Rapidamente cortamos a conectividade com a rede do provedor pois acreditamos que estava – e talvez ainda esteja – comprometida."
O CSO da T-Mobile adicionou que a empresa não vê mais nenhum atacante ativo dentro de sua rede e compartilhou suas descobertas com o governo e parceiros do setor.
A declaração da T-Mobile de hoje segue o anúncio da empresa, duas semanas atrás, de que seus sistemas foram comprometidos em uma recente onda de violações de telecomunicações do Salt Typhoon.
A CISA e o FBI confirmaram as violações no final de outubro, após relatos de que o grupo de ameaças chinês violou vários provedores de banda larga, incluindo AT&T, Verizon e Lumen Technologies.
As duas agências federais mais tarde revelaram que os invasores comprometeram as "comunicações privadas" de um "número limitado" de oficiais do governo, roubaram registros de chamadas de clientes e dados de solicitações de aplicação da lei, e ganharam acesso à plataforma de escutas telefônicas do governo dos EUA.
Embora seja desconhecido quando as redes dos gigantes de telecomunicações foram violadas pela primeira vez, os hackers chineses tiveram acesso "por meses ou mais", de acordo com um relatório do WSJ.
Isso permitiu que coletassem e roubassem vastas quantidades de "tráfego de internet de provedores de serviços de internet que contam com empresas grandes e pequenas, e milhões de americanos, como seus clientes", de acordo com pessoas familiarizadas com o assunto.
O Canadá também revelou no mês passado que muitas das agências e departamentos do país, incluindo partidos políticos federais, o Senado e a Câmara dos Comuns, foram alvo de varreduras amplas de rede ligadas a hackers do estado chinês não nomeados.
Em ataques similares, embora provavelmente não relacionados, o grupo de ameaças chinês Volt Typhoon rastreou e hackeou vários ISPs e MSPs nos Estados Unidos e na Índia após invadir suas redes corporativas usando credenciais roubadas em ataques zero-day do Versa Director.
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...