T-Mobile, yakın zamanda bir dizi telekom ihlalinin parçası olarak sistemlerini tehlikeye atan Çinli “Salt Typhoon” bilgisayar korsanlarının, ağda yanal olarak gezinmenin yollarını keşfetmek için ilk olarak bazı yönlendiricilerini hacklediğini söylüyor.
Ancak şirket, mühendislerinin tehdit aktörlerini ağ üzerinde daha fazla yayılmadan ve müşteri bilgilerine erişemeden engellediğini söylüyor.
Earth Estries, FamousSparrow, Ghost Emperor ve UNC2286 adlarıyla da takip edilen bu Çin devleti destekli tehdit grubu, en az 2019’dan beri aktif ve genellikle Güneydoğu Asya’daki devlet kurumlarının ve telekomünikasyon şirketlerinin ihlallerine odaklanıyor.
Şirketin Güvenlik Müdürü Jeff Simon, Çarşamba günü yayınlanan bir blog yazısında, tehdit aktörlerinin bağlantılı bir kablolu hat sağlayıcısının ağından kaynaklanan saldırısının, proaktif izleme ve ağ bölümlendirmesi de dahil olmak üzere T-Mobile’ın siber savunmaları tarafından durdurulduğunu paylaştı.
Şirket, Simon’un Bloomberg’e söylediği gibi, bazı yönlendiricilerinde yürütülen siber saldırıların keşif aşamasında genellikle kullanılan komutlar ve daha önce Salt Typhoon ile bağlantılı olan güvenlik ihlali göstergeleriyle eşleşen komutlar da dahil olmak üzere şüpheli davranışları tespit ettikten sonra ihlali keşfetti.
“Birçok rapor, bu kötü aktörlerin uzun bir süre boyunca bazı sağlayıcıların müşteri bilgilerine (telefon görüşmeleri, kısa mesajlar ve özellikle hükümet yetkililerinden gelen diğer hassas bilgiler) erişim elde ettiğini iddia ediyor. T-Mobil’de durum böyle değil.” Simon dedi.
“Savunmalarımız hassas müşteri bilgilerimizi korudu, hizmetlerimizin herhangi bir şekilde kesintiye uğramasını önledi ve saldırının ilerlemesini durdurdu. Kötü aktörlerin hassas müşteri verilerine (çağrılar, sesli mesajlar veya mesajlar dahil) erişimi yoktu.
“Tedarikçinin ağıyla olan bağlantıyı, tehlikeye girdiğine ve hala tehlike altında olabileceğine inandığımız için hızla kestik.”
T-Mobile’ın CSO’su, şirketin artık ağında aktif bir saldırgan görmediğini ve bulgularını hükümet ve sektör ortaklarıyla paylaştığını ekledi.
Son Salt Typhoon telekom saldırılarında ihlal edildi
T-Mobile’ın bugünkü açıklaması, şirketin iki hafta önce, Salt Typhoon telekom ihlallerinin son dalgasında sistemlerinin tehlikeye girdiğini duyurmasının ardından geldi.
CISA ve FBI, Çinli tehdit grubunun AT&T, Verizon ve Lumen Technologies dahil olmak üzere çok sayıda geniş bant sağlayıcısını ihlal ettiği yönündeki raporların ardından Ekim ayı sonlarında ihlalleri doğruladı.
Daha sonra iki federal kurum, saldırganların “sınırlı sayıda” hükümet yetkilisinin “özel iletişimini” tehlikeye attığını, müşteri arama kayıtlarını ve kolluk kuvvetlerinin talep verilerini çaldığını ve ABD hükümetinin telefon dinleme platformuna erişim sağladığını ortaya çıkardı.
Telekom devlerinin ağlarının ilk kez ne zaman ihlal edildiği bilinmese de, WSJ raporuna göre Çinli bilgisayar korsanları “aylarca veya daha uzun süre” erişime sahipti. Konuyu bilen kaynaklara göre bu, onların “büyük ve küçük işletmeleri ve milyonlarca Amerikalıyı müşterileri olarak sayan internet servis sağlayıcılarından” büyük miktarlarda internet trafiğini toplamalarına ve çalmalarına olanak sağladı.
Kanada ayrıca geçen ay federal siyasi partiler, Senato ve Avam Kamarası da dahil olmak üzere ülkenin birçok kurum ve departmanının isimsiz Çinli devlet korsanlarıyla bağlantılı geniş ağ taramalarında hedef alındığını açıklamıştı.
Benzer, ancak muhtemelen ilgisiz saldırılarda, Volt Typhoon Çinli tehdit grubu, Versa Director sıfır gün saldırılarında çalınan kimlik bilgilerini kullanarak kurumsal ağlarını hackledikten sonra Amerika Birleşik Devletleri ve Hindistan’daki birden fazla ISP’yi ve MSP’yi takip etti ve hackledi.