Amerykański gigant telekomunikacyjny T-Mobile potwierdził, że padł ofiarą chińskich cyberprzestępców, którzy próbowali uzyskać dostęp do poufnych danych. Grupa hakerska Salt Typhoon przeprowadziła trwającą wiele miesięcy kampanię cyberszpiegowską wymierzoną w komunikację komórkową strategicznych celów wywiadowczych.
Dalsza część artykułu pod materiałem wideo
W oficjalnym komunikacie rzecznik T-Mobile poinformował, że "systemy i dane firmy nie zostały znacząco naruszone, a firma nie posiada dowodów na naruszenie bezpieczeństwa danych klientów". Przedstawiciel zapewnił o ciągłym monitorowaniu sytuacji we współpracy z partnerami branżowymi i odpowiednimi służbami.
Oprócz T-Mobile, ofiarami cyberataków padły również inne znaczące przedsiębiorstwa telekomunikacyjne, w tym AT&T, Verizon oraz Lumen Technologies. Śledztwo prowadzone przez amerykański rząd ujawniło, że jest to szeroko zakrojona operacja cyberszpiegowska kierowana przez Chińską Republikę Ludową.
Zaawansowane techniki ataku
Grupa hakerska Salt Typhoon, znana również pod nazwami Earth Estries, FamousSparrow, GhostEmperor i UNC2286, działa co najmniej od 2020 roku. Analitycy z firmy Trend Micro odkryli, że hakerzy stosują kombinację legalnych narzędzi oraz specjalnie zaprojektowanego złośliwego oprogramowania do omijania zabezpieczeń.
Eksperci z Trend Micro zauważają, że "grupa systematycznie aktualizuje swoje narzędzia i wykorzystuje backdoory do przemieszczania się w sieci oraz kradzieży danych uwierzytelniających". Do zbierania i eksfiltracji danych przestępcy używają narzędzia TrillClient, a do przesyłania informacji wykorzystują anonimowe serwisy do udostępniania plików.
Metody infiltracji i utrzymania dostępu
Hakerzy stosują dwie różne ścieżki ataku. W pierwszej wykorzystują luki w zabezpieczeniach usług zewnętrznych i narzędzi do zarządzania zdalnego. Przestępcy instalują złośliwe oprogramowanie, takie jak Cobalt Strike, napisany w języku Go program TrillClient oraz backdoory HemiGate i Crowdoor.
Druga metoda ataku jest bardziej zaawansowana i koncentruje się na wykorzystaniu podatnych serwerów Microsoft Exchange. Hakerzy instalują web shell China Chopper, który służy do dostarczania dodatkowego złośliwego oprogramowania, w tym Zingdoor i Snappybee. Do maskowania ruchu sieciowego wykorzystują serwery proxy ofiar.
Według ekspertów z Trend Micro, grupa wykazuje się doskonałą znajomością środowisk swoich celów. Ciągłe identyfikowanie nowych warstw podatnych na atak oraz stosowanie kombinacji sprawdzonych narzędzi i własnych backdoorów tworzy wielowarstwową strategię ataku, którą trudno wykryć i powstrzymać.