T-Mobile اعلام کرده است که هکرهای چینی موسوم به «Salt Typhoon» که اخیراً سیستمهای این شرکت را بهعنوان بخشی از مجموعه حملات به شبکههای مخابراتی نفوذ کردهاند، ابتدا به برخی از روترهای آن نفوذ کردند تا راههایی برای حرکت جانبی در شبکه را بررسی کنند.
با این حال، شرکت اعلام کرده است که مهندسان آن تهدیدکنندگان را پیش از آنکه بتوانند بیشتر در شبکه گسترش پیدا کنند و به اطلاعات مشتریان دسترسی یابند، متوقف کردند.
این گروه تهدید تحت حمایت دولت چین، که با نامهای Earth Estries، FamousSparrow، Ghost Emperor و UNC2286 نیز شناخته میشود، دستکم از سال ۲۰۱۹ فعال بوده و معمولاً بر نفوذ به نهادهای دولتی و شرکتهای مخابراتی در جنوب شرق آسیا تمرکز دارد.
Jeff Simon ، مدیر ارشد امنیت شرکت، در یک پست وبلاگی که روز چهارشنبه منتشر شد، اعلام کرد که حمله عوامل تهدید که از شبکه یک ارائهدهنده خدمات خط ثابت متصل آغاز شده بود، توسط سیستمهای دفاع سایبری T-Mobile ، از جمله نظارت پیشگیرانه و تقسیمبندی شبکه، متوقف شد.
طبق گفته Simon از Bloomberg : این شرکت پس از شناسایی رفتار مشکوکی که شامل اجرای دستوراتی بود که معمولاً در مرحله شناسایی حملات سایبری استفاده میشوند و همچنین دستوراتی که با نشانههای نفوذ مرتبط با گروه «Salt Typhoon» مطابقت داشتند، از وقوع این نفوذ مطلع شد.
Simon گفت: «بسیاری از گزارشها ادعا میکنند که این عوامل مخرب در طول مدت زمانی طولانی به اطلاعات مشتریان برخی ارائهدهندگان، شامل تماسهای تلفنی، پیامهای متنی و سایر اطلاعات حساس، بهویژه اطلاعات مقامات دولتی، دسترسی پیدا کردهاند. اما این موضوع در مورد تی-موبایل صدق نمیکند.»
دفاعهای ما از اطلاعات حساس مشتریان محافظت کردند، مانع از اختلال در خدمات ما شدند و جلوی پیشروی حمله را گرفتند. عوامل مخرب هیچگونه دسترسی به دادههای حساس مشتریان (از جمله تماسها، پیامهای صوتی یا متنی) نداشتند.
ما بهسرعت ارتباط با شبکه ارائهدهنده را قطع کردیم، زیرا معتقدیم که این شبکه مورد نفوذ قرار گرفته بود – و ممکن است همچنان در معرض نفوذ باشد.
مدیر ارشد امنیت T-Mobile اضافه کرد که این شرکت دیگر هیچ مهاجمی را در شبکه خود فعال نمیبیند و یافتههایش را با دولت و شرکای صنعتی به اشتراک گذاشته است.
در حملات اخیر گروه Salt Typhoon به شبکههای مخابراتی نفوذ شده است.
بیانیه امروز T-Mobile پس از اعلام دو هفته پیش شرکت منتشر شده است که در آن گفته شده بود سیستمهای این شرکت در موج اخیر حملات گروه Salt Typhoon به شبکههای مخابراتی نفوذ شده است.
CISA و FBI در اواخر اکتبر نفوذها را تأیید کردند، پس از گزارشهایی مبنی بر اینکه گروه تهدید چینی به چندین ارائهدهنده خدمات اینترنت پرسرعت، از جمله AT&T، Verizon و Lumen Technologies، نفوذ کرده است.
این دو آژانس فدرال بعداً فاش کردند که مهاجمان “ارتباطات خصوصی” تعداد “محدودی” از مقامات دولتی را به خطر انداختند، سوابق تماسهای مشتریان و دادههای درخواستهای اجرائی قانون را سرقت کردند و به پلتفرم شنود مکالمات دولت ایالات متحده دسترسی پیدا کردند.
با وجود اینکه مشخص نیست شبکههای غولهای مخابراتی از چه زمانی برای اولین بار نفوذ شدهاند، طبق گزارش والاستریت ژورنال، هکرهای چینی برای “مدتها یا بیشتر” به شبکهها دسترسی داشتند. این به آنها این امکان را داد که مقادیر زیادی “ترافیک اینترنت از ارائهدهندگان خدمات اینترنتی که هم کسبوکارهای بزرگ و کوچک و هم میلیونها آمریکایی مشتریانشان هستند” جمعآوری و سرقت کنند، طبق گفته افرادی که با موضوع آشنایی دارند.
کانادا همچنین ماه گذشته فاش کرد که بسیاری از سازمانها و دپارتمانهای کشور، از جمله احزاب سیاسی فدرال، سنا و مجلس عوام، در اسکنهای گسترده شبکه که به هکرهای چینی تحت حمایت دولت مرتبط بودند، هدف قرار گرفتهاند.
در حملات مشابه که احتمالاً بیارتباط هستند، گروه تهدید چینی Volt Typhoon به چندین ارائهدهنده خدمات اینترنت (ISPs) و ارائهدهندگان خدمات مدیریتشده (MSPs) در ایالات متحده و هند نفوذ کرد، پس از اینکه به شبکههای شرکتی آنها دسترسی پیدا کرد و از اعتبارنامههای دزدیدهشده در حملات Versa Director که از آسیبپذیریهای روز صفر استفاده میکردند، بهره برد.
