Senatörler mektuplarında ayrıca, ABD telekomünikasyon şirketlerinin SS7 olarak bilinen telekom protokolüyle ilgili sistemlerinin denetimlerini yürütmek için üçüncü taraf siber güvenlik firmalarıyla çalıştıklarına ancak bu değerlendirmelerin sonuçlarını Savunma Bakanlığı’na sunmayı reddettiklerine dair kanıtlar da sunuyorlar. Bakanlık, Wyden’in ofisinden gelen sorulara yanıt olarak şunları yazdı: “Savunma Bakanlığı, taşıyıcılardan üçüncü taraf denetimlerinin sonuçlarının kopyalarını istedi ve bunların avukat-müvekkil ayrıcalıklı bilgileri olarak kabul edildiği konusunda bilgilendirildi.”
Pentagon, telekomünikasyon altyapısının çoğu için büyük ABD operatörleriyle sözleşme yapıyor; bu da onların sahip olabileceği her türlü potansiyel kurumsal güvenlik zayıflığını ve aynı zamanda telefon ağlarının kalbindeki eski güvenlik açıklarını da devraldığı anlamına geliyor.
AT&T ve Verizon, WIRED’den gelen çok sayıda yorum talebine yanıt vermedi. T-Mobile’ın Salt Typhoon kampanyasında da ihlal edildiği bildirildi, ancak şirket geçen hafta bir blog yazısında herhangi bir uzlaşma belirtisi görmediğini söyledi. T-Mobile’ın Ordu, Hava Kuvvetleri, Özel Harekat Komutanlığı ve Savunma Bakanlığı’nın diğer birçok bölümüyle sözleşmesi vardır. Ve Haziran ayında, Donanma ile “tüm Savunma Bakanlığı kurumlarına önümüzdeki 10 yıl boyunca T-Mobile’dan kablosuz hizmetler ve ekipman siparişi verme olanağı verecek” 10 yıllık, 2,67 milyar dolarlık bir sözleşme imzalandığını duyurdu.
WIRED ile yapılan bir röportajda, T-Mobile’ın baş güvenlik sorumlusu Jeff Simon, şirketin yakın zamanda, adı açıklanmayan bir kablolu hat ortağı aracılığıyla yönlendirme altyapısından gelen ve tehlikeye maruz kalan bir hackleme faaliyeti girişiminde bulunduğunu tespit ettiğini söyledi. T-Mobile “kötü aktörün” Salt Typhoon olduğundan emin değil, ancak her kim olursa olsun Simon, şirketin izinsiz giriş girişimlerini hızla engellediğini söylüyor.
Simon, “Bizim uç yönlendirme altyapımızı kullanarak tüm sistemlerimize ulaşamazsınız; sistemler bir şekilde orada tutulur ve daha sonra daha fazla erişim elde etmek için o ortam ile başka bir ortam arasında geçiş yapmaya çalışmanız gerekir” diyor Simon. “Bu onların oldukça gürültülü şeyler yapmasını gerektiriyor ve biz de onları tespit edebildik. İzleme yeteneklerimize büyük yatırım yaptık. Mükemmel olduklarından değil, asla olmayacaklar ama çevremizde gürültü yapan biri varsa onu yakalayacağımızı düşünmek hoşumuza gider.”
Salt Typhoon kaosunun ortasında T-Mobile’ın bu durumda bir ihlal yaşamadığını iddia etmesi dikkat çekiyor. Simon, durum ortaya çıktıkça şirketin hala kolluk kuvvetleri ve telekom endüstrisi ile daha geniş anlamda işbirliği yapmaya devam ettiğini söylüyor. Ancak T-Mobile’ın siber güvenliğe bu kadar kapsamlı yatırım yapması tesadüf değil. Şirket, on yıl boyunca çok büyük miktarda müşteri verisinin açığa çıkmasına neden olan tekrarlanan büyük ihlallere maruz kaldı. Simon, şirkete katıldığı Mayıs 2023’ten bu yana önemli bir güvenlik dönüşümü geçirdiğini söylüyor. Örnek olarak şirket, çalışanlara ek olarak tüm yükleniciler de dahil olmak üzere T-Mobile sistemleriyle etkileşimde bulunan tüm kişiler için fiziksel güvenlik anahtarlarıyla zorunlu iki faktörlü kimlik doğrulama uyguladı. Bu tür önlemlerin kimlik avı gibi tehdit riskini büyük ölçüde azalttığını söylüyor. Cihaz popülasyonu yönetimi ve ağ tespitindeki diğer gelişmeler de şirketin kendini savunma becerisine güven duymasına yardımcı oldu.
“Geçiş yaptığımız gün, Yubikey’lerini henüz almadıkları için bazı kişilerin erişimini kestik. Simon, genel merkezimizin kapısında kuyruk olduğunu söylüyor. “T-Mobile sistemlerine erişen her yaşam formunun bizden bir Yubikey alması gerekiyor.”
Yine de ABD telekomünikasyon altyapısında temel güvenlik açıklarının olduğu gerçeği ortadadır. T-Mobile, Salt Typhoon’un son saldırı girişimlerini başarıyla engellemiş olsa bile casusluk kampanyası, sektörde uzun süredir devam eden güvensizliğin dramatik bir örneğidir.
Senatörler şöyle yazdı: “Savunma Bakanlığı’nın bu sözleşmeleri yenilemeyi reddetmesi gerekip gerekmediğini düşünmenizi ve bunun yerine sözleşmeli kablosuz taşıyıcılarla, gözetleme tehditlerine karşı anlamlı siber savunmalar benimsemelerini talep etmek için yeniden müzakere etmenizi rica ediyoruz.”
Dell Cameron tarafından ek raporlama.