Els investigadors de seguretat han durant anys sobre la creixent sofisticació dels grups de pirates informàtics patrocinats per l'estat, especialment els de la Xina. Tifó de Volt, Tifó de Flaix i Tifó de Salt, objectiu actiu de les agències governamentals, les infraestructures crítiques i els operadors de telecomunicacions als EUA. Advertència Família de tifons Una escola de pensament suggereix que el grup hacktivista de Salt Typhoon, donada la seva inclinació per als proveïdors de telecomunicacions, pot ser el grup darrere de telecomunicacions relacionades. Aquest frau financer generalitzat implica l'accés no autoritzat als registres interns dels clients, inclosos els saldos del compte. Trucs d'escàndol de targetes Meet the Typhoon Family: Members of China’s Cyber Espionage Team Coneix la família del tifó: membres de l'equip d'espionatge cibernètic de la Xina · El Volt Typhoon: The Stealth Operator és un grup de ciberdelinqüència recolzat per l'estat que sovint es dirigeix a les infraestructures crítiques dels EUA, incloent-hi els sectors de les comunicacions, l'energia i el transport. En comptes de propagar el malware, el seu modus operandi és Living-off-the-Land (LOTL), que utilitza eines d'administració de xarxes integrades, com PowerShell i Windows Management Instrumentation (WMIC), per romandre indetectat mascarant l'activitat com a sistema típic de Windows i el comportament de la xarxa, evitant així la detecció. Tornada al tifó · El Flax Typhoon: The Silent Observer Els objectius de l'espionatge a llarg termini no són només infraestructures crítiques, sinó també una àmplia gamma d'organitzacions, incloent institucions governamentals i entitats comercials. S'ocupen de milers de dispositius connectats a Internet com càmeres, gravadors de vídeo i dispositius d'emmagatzematge, per formar una botnet que utilitzen per ajudar a comprometre sistemes i robar informació sensible. Els seus atacs es troben comunament utilitzant vulnerabilitats conegudes en aplicacions empresarials. La seva estratègia baixa i lenta permet al grup mantenir l'accés a llarg termini sense ser detectat per equips de seguretat, indicant que el grup està construint silenciosament per a futures pertorbacions cibernètiques. El tifó Flax · El Salt Typhoon: The Telecom Intruder És el grup més rellevant en aquest cas. A diferència de Volt i Flax, Salt Typhoon es dirigeix específicament als proveïdors de telecomunicacions dels EUA. Ha estat capaç de trencar gairebé totes les principals companyies de telecomunicacions dels EUA, incloent aquelles que gestionen serveis mòbils i de banda ampla, principalment mitjançant l'explotació de vulnerabilitats en maquinari de xarxa com ara routers i interruptors. Tifó de sal El tifó de sal també va afectar els Estats Units En virtut d'aquest reglament, les companyies de telecomunicacions han de dissenyar les seves xarxes per facilitar l'enregistrament de targetes sospitoses sota vigilància activa tal com ordena CALEA. Això inclou els registres de trucades que proporcionen el moment, la durada i les parts involucrades en les converses, juntament amb la informació de geolocalització utilitzada per rastrejar trucades i patrons de viatge. Xarxes d'intercepció legalment sancionades Tifó de sal amb èxit Els sistemes CALEA de diverses grans companyies de telecomunicacions, que els concedeixen la possibilitat de veure quins números de telèfon estaven actualment sota vigilància, interceptar trucades telefòniques i missatges de text des de objectius seleccionats, accedir a metadades que rastreguen els temps de trucades o textos es van fer i a qui, identificar la torre cel·lular des de la qual va originar una comunicació, revelant una ubicació aproximada dels objectius. Trencat Mentre que l'objectiu principal de Salt Typhoon sembla ser l'espionatge, el seu accés a les bases de dades internes dels clients planteja preocupacions sobre el potencial frau financer. AT&T i Spectrum, podrien haver extret saldos de comptes de clients, permetent als estafadors fingir representants del servei i manipular a les víctimes per participar en transaccions fraudulentes. Així The Comcast Gift Card Scam: A Coordinated Cyber Attack? L'escàndol de targetes de regal de Comcast: un atac cibernètic coordinat? El implica els estafadors que es posen en contacte amb els subscriptors i afirmen que es qualifiquen per a una promoció de descompte. Es demana a les víctimes que comprin targetes de regal i llegeixin el número de la targeta de tornada a un representant del servei per reclamar el seu premi. Comcast escàndol de targetes de regal La pregunta més gran aquí és com els estafadors van obtenir aquesta informació interna del client tan sensible. Els estafadors tenien informació completa sobre els comptes dels clients, incloent plans i balanços, una cosa que només és possible a través del coneixement d'insider o accedint a les xarxes internes. Tenint en compte la penetració de Salt Typhoon als operadors de telecomunicacions dels EUA, és possible que hagin explotat vulnerabilitats no corregides, infringint les bases de dades dels clients? Salt Typhoon és conegut per utilitzar tècniques de robatori de credencials, que li permeten moure's lateralment dins de les xarxes. Un cop dins de la infraestructura de Comcast, podrien haver accedit als portals de servei al client per recuperar saldos de comptes i dades personals. Les dades dels clients de Comcast extretes podrien haver estat venudes als estafadors, permetent-los apuntar a les víctimes amb detalls de compte precisos (com els últims quatre pagaments realitzats i les càrregues futures) facilitant així fàcilment les seves operacions fraudulentes. How Companies Can Defend Against Such Attacks Com poden defensar-se les empreses contra aquests atacs Per mitigar els riscos de Salt Typhoon i grups APT similars, els proveïdors de telecomunicacions han de: • El Limitar l'accés a les dades privades, permetent que només el personal aprovat pugui veure la informació del compte del client. Segregar els sistemes crítics per evitar que els atacants travessin la xarxa. Utilitzar la micro-segmentació per contenir la propagació d'un atac dins de les xarxes internes. Implement Zero Trust security: • El Implementar sistemes avançats de detecció d'amenaces com la detecció d'anomalies impulsada per la IA i l'anàlisi comportamental per identificar l'activitat inusual dins de les bases de dades internes. Enhance network visibility: • El Salt Typhoon té com a objectiu vulnerabilitats de seguretat conegudes, per la qual cosa és fonamental mantenir els sistemes actualitzats regularment. Implementar els patchs de seguretat recomanats per la CISA per a la infraestructura de telecomunicacions. Crear estratègies de fi de vida per a tecnologies fora del cicle de vida suportat pel fabricant per mantenir els sistemes segurs. Patch vulnerabilities promptly: • El Implementar MFA per a tots els sistemes interns que processen informació del client. Implementar solucions MFA que poden resistir Rotació regular de les credencials administratives per evitar que els atacants utilitzin credencials robats per als atacs laterals. Strengthen authentication mechanisms: El phishing • El Els proveïdors de telecomunicacions han d'advertir als clients sobre els esquemes fraudulents i han d'advocar la formació en gestió de riscos humans i conscienciació de seguretat per als seus clients corporatius per ajudar a identificar i reconèixer signes falsos d'enginyeria social i intents de phishing. Educate customers about scams: Conclusion: A Plausible Theory Worth Investigating Conclusió: Una teoria plausible que val la pena investigar Mentre que actualment no hi ha proves definitives que connecten Salt Typhoon a les estafes de targetes de regal de telecomunicacions, les proves circumstancials fan que el cas sigui convincent. Salt Typhoon ja ha infringit moltes telecomunicacions, i la seva experiència en intrusió de xarxes i extracció de dades els posiciona com a principals sospitosos. Si Salt Typhoon és realment responsable, marca una nova direcció perillosa per al cibercrim patrocinat per l'estat en què els pirates informàtics faciliten el frau financer i no només l'espionatge. A mesura que les amenaces de ciberseguretat continuen evolucionant, els consumidors i les empreses han de mantenir-se alerta, mantenint la informació sensible fora de l'abast dels actors adversaris
