T-Mobile, Çinli tehdit aktörlerinin özel iletişimlere, çağrı kayıtlarına ve kolluk kuvvetlerinin bilgi taleplerine erişim sağlamak amacıyla yakın zamanda bildirilen telekom ihlalleri dalgasında saldırıya uğradığını doğruladı.
T-Mobile, “T-Mobile bu sektör çapındaki saldırıyı yakından izliyor ve şu anda T-Mobile sistemleri ve verileri önemli bir şekilde etkilenmedi ve müşteri bilgilerinin etkilendiğine dair hiçbir kanıtımız yok” dedi. İhlal hakkında ilk haberi veren Wall Street Journal.
“Sektördeki meslektaşlarımız ve ilgili yetkililerle birlikte çalışarak bunu yakından izlemeye devam edeceğiz.”
Geçen ay The Wall Street Journal, Salt Typhoon olarak bilinen Çin devleti destekli tehdit aktörlerinin AT&T, Verizon ve Lumen dahil olmak üzere çok sayıda ABD telekomünikasyon şirketine saldırıda bulunduğunu bildirdi.
Salt Typhoon (aka Earth Estries, FamousSparrow, Ghost Emperor ve UNC2286), en az 2019’dan beri aktif olan ve genellikle Güneydoğu Asya’daki devlet kurumlarının ve telekomünikasyon şirketlerinin ihlallerine odaklanan, Çin devleti destekli gelişmiş bir bilgisayar korsanlığı grubudur.
WSJ, bilgisayar korsanlığı kampanyasının, tehdit aktörlerinin ABD hükümeti genelindeki üst düzey ABD ulusal güvenlik ve politika yetkililerinin cep telefonu hatlarını hedef alarak arama kayıtlarını, kısa mesajları ve bazı sesleri çalmasına olanak tanıdığını bildirdi.
Bu hafta başında FBI ve CISA’dan yapılan ortak açıklamada ABD hükümeti, tehdit aktörlerinin çağrı verilerini, hedeflenen kişilerden gelen iletişimleri ve telekomünikasyon şirketlerine gönderilen kolluk kuvvetleri talepleriyle ilgili bilgileri çaldığını doğruladı.
“Özellikle, Çin Halk Cumhuriyeti’ne bağlı aktörlerin, müşteri çağrı kayıt verilerinin çalınmasını, öncelikli olarak hükümetle veya siyasi faaliyetlerle ilgilenen sınırlı sayıda kişinin özel iletişiminin tehlikeye atılmasını sağlamak için birden fazla telekomünikasyon şirketinin ağlarını tehlikeye attığını tespit ettik. Ortak bildiride, ABD emniyet teşkilatının taleplerine tabi olan belirli bilgilerin mahkeme emirleri uyarınca kopyalanması” ifadeleri yer alıyor.
“Soruşturma devam ettikçe bu uzlaşmalara ilişkin anlayışımızın artmasını bekliyoruz.”
Bu saldırıların, internet trafiğini yönlendirmekten sorumlu Cisco yönlendiricilerindeki güvenlik açıkları aracılığıyla gerçekleştirildiği bildirildi. Ancak Cisco daha önce bu saldırılar sırasında ekipmanlarının ihlal edildiğine dair herhangi bir belirti bulunmadığını belirtmişti.
BleepingComputer, Salt Typhoon ihlaliyle ilgili daha fazla soru sormak için T-Mobile ile iletişime geçti ancak şu anda bir yanıt alamadı.
Bu ihlal, T-Mobile’ın 2019’dan bu yana uğradığı dokuzuncu ihlaldir; diğer olaylar şunlardır:
- 2019 yılında T-Mobile, açıklanmayan sayıda ön ödemeli müşterinin hesap bilgilerini açığa çıkardı.
- Mart 2020’de T-Mobile çalışanları, kişisel ve finansal bilgilerinin açığa çıkmasına neden olan bir veri ihlalinden etkilendi.
- Aralık 2020’de tehdit aktörleri müşterinin özel ağ bilgilerine (telefon numaraları, çağrı kayıtları) erişti.
- Şubat 2021’de, bilinmeyen saldırganlar tarafından dahili bir T-Mobile uygulamasına izinsiz olarak erişildi.
- Ağustos 2021’de bilgisayar korsanları, T-Mobile test ortamının ihlal edilmesinin ardından operatörün ağına kaba kuvvet kullanarak yol açtı.
- Nisan 2022’de Lapsus$ gasp çetesi, çalınan kimlik bilgilerini kullanarak T-Mobile’ın ağını ihlal etti.
- Ocak 2023’te T-Mobile, saldırganların Kasım 2022’de savunmasız bir Uygulama Programlama Arayüzünü (API) kötüye kullanarak 37 milyon müşterinin kişisel bilgilerini çaldığını doğruladı.
- Mayıs 2023’te T-Mobile, yalnızca 836 müşteriyi etkileyen ancak hassas bilgilerin açığa çıktığı bir ihlal olduğunu açıkladı.