Beveiligingsonderzoekers hebben jarenlang over de toenemende verfijning van door de staat gesponsorde hackinggroepen, met name die uit China. Volt Typhoon, Flax Typhoon en Salt Typhoon – actief gericht op overheidsinstanties, kritieke infrastructuur en telecommunicatie-exploitanten in de VS gewaarschuwd Typhoon familie Een school van gedachte suggereert dat de Salt Typhoon hacktivist groep, gezien de neiging om telecom providers, kan de groep achter telecom-gerelateerde Deze wijdverspreide financiële fraude omvat ongeoorloofde toegang tot interne klantgegevens, inclusief saldi. cadeaukaart scams Meet the Typhoon Family: Members of China’s Cyber Espionage Team Maak kennis met de Typhoon-familie: leden van het Chinese cyberspionage team · Volt Typhoon: The Stealth Operator In plaats van malware te verspreiden, is hun modus operandi live-off-the-land (LOTL), dat ingebouwde netwerkbeheertools gebruikt, zoals PowerShell en Windows Management Instrumentation (WMIC), om onopgemerkt te blijven door activiteit te maskeren als typisch Windows-systeem en netwerkgedrag, waardoor detectie wordt vermeden. Volt tyfoon · Flax Typhoon: The Silent Observer Ze nemen duizenden internetgerelateerde apparaten over, zoals camera's, video-recorders en opslagapparaten, om een botnet te vormen dat ze gebruiken om systemen te helpen compromitteren en gevoelige informatie te stelen. Hun aanvallen worden vaak gevonden met bekende kwetsbaarheden in bedrijfsapplicaties. Tyfoon Flax · Salt Typhoon: The Telecom Intruder Het is de meest relevante groep in dit geval. In tegenstelling tot Volt en Flax, Salt Typhoon specifiek gericht op Amerikaanse telecommunicatie providers. Het is in staat geweest om te breken bijna elke grote Amerikaanse telecommaatschappij, met inbegrip van die met mobiele en breedbanddiensten, voornamelijk door het exploiteren van kwetsbaarheden in netwerkhardware zoals routers en schakelaars. Zout tyfoon Salt Typhoon overtreft ook Amerika Volgens de Communications Assistance for Law Enforcement Act van 1994 (CALEA) moeten telecommaatschappijen hun netwerken ontwerpen om het opsporen van verdachte doelen onder actief toezicht te vergemakkelijken, zoals door CALEA is opgelegd. Wettig gesanctioneerde interceptienetwerken Salt Typhoon met succes CALEA-systemen bij verschillende grote telecommaatschappijen, waardoor ze de mogelijkheid hebben om te zien welke telefoonnummers momenteel onder toezicht staan, telefoongesprekken en tekstberichten van geselecteerde doelen af te sluiten, toegang tot metagegevens die de tijden van oproepen of teksten volgen en aan wie, de mobiele toren identificeren waaruit een communicatie is ontstaan, waarbij een doelwit een geschatte locatie onthult. gebroken Hoewel het primaire doel van Salt Typhoon spionage lijkt te zijn, roept de toegang tot interne klantendatabases zorgen op over mogelijke financiële fraude. AT&T en Spectrum konden saldi van klantenaccounts hebben geëxtraheerd, waardoor oplichters dienstverleners konden doen alsof ze slachtoffers manipuleren om deel te nemen aan frauduleuze transacties. Zie The Comcast Gift Card Scam: A Coordinated Cyber Attack? De Comcast Gift Card Scam: Een gecoördineerde cyberaanval? De betrekking heeft op oplichters die contact opnemen met abonnees en beweren dat ze in aanmerking komen voor een kortingspromotie. slachtoffers worden gevraagd om cadeaukaarten te kopen en het kaartnummer terug te lezen naar een service-vertegenwoordiger om hun prijs te claimen. Comcast cadeaukaart scam De grotere vraag hier is hoe oplichters zo'n gevoelige interne klantinformatie hebben verkregen.De oplichters hadden volledige informatie over klantenaccounts, inclusief plannen en saldi, iets dat alleen mogelijk is door middel van in-house kennis of door toegang te krijgen tot interne netwerken.Gezien Salt Typhoon's gerapporteerde penetratie van Amerikaanse telecomoperators, is het mogelijk dat ze ongepaste kwetsbaarheden exploiteerden, klantendatabases breken? Salt Typhoon is bekend om credential-diefstaltechnieken te gebruiken, waardoor het lateral kan bewegen binnen netwerken. Eenmaal binnen de infrastructuur van Comcast, konden ze toegang hebben tot klantenserviceportaals om accountbalansen en persoonlijke gegevens op te halen. De geëxtraheerde Comcast-klantgegevens konden aan oplichters worden verkocht, waardoor ze slachtoffers konden richten met nauwkeurige accountgegevens (zoals de laatste vier betaalde betalingen en komende kosten) waardoor hun frauduleuze operaties gemakkelijk werden vergemakkelijkt. How Companies Can Defend Against Such Attacks Hoe bedrijven zich kunnen verdedigen tegen dergelijke aanvallen Om de risico's van Salt Typhoon en soortgelijke APT-groepen te beperken, moeten telecomleveranciers: • Beperk de toegang tot privégegevens, zodat alleen goedgekeurd personeel de klantaccountinformatie kan zien.Segregeren van kritieke systemen om aanvallers te voorkomen dat ze het netwerk doorkruisen.Gebruik micro-segmentatie om de verspreiding van een aanval binnen interne netwerken te beperken. Implement Zero Trust security: • Implementeer geavanceerde bedreigingsdetectiesystemen zoals AI-gedreven anomalie-detectie en gedragsanalyse om ongewone activiteit binnen interne databases te identificeren. Enhance network visibility: • Salt Typhoon richt zich op bekende beveiligingslekken, dus het is van cruciaal belang dat systemen regelmatig worden gepatcht.Implementeer CISA-aanbevolen beveiligingspatches voor telecommunicatie-infrastructuur.Creëer end-of-life strategieën voor technologieën buiten de ondersteunde levenscyclus van de fabrikant om systemen veilig te houden. Patch vulnerabilities promptly: • Implementeer MFA voor alle interne systemen die klantinformatie verwerken. Implementeer MFA-oplossingen die kunnen weerstaan Roteer regelmatig administratieve credentials om aanvallers te voorkomen gestolen credentials te gebruiken voor laterale aanvallen. Strengthen authentication mechanisms: Phishing • Telecomleveranciers moeten klanten waarschuwen voor frauduleuze regelingen en moeten menselijk risicobeheer en beveiligingsbewustzijnstraining voor hun zakelijke klanten bevorderen om te helpen bij het identificeren en herkennen van verraderlijke tekenen van social engineering en phishing-pogingen. Educate customers about scams: Conclusion: A Plausible Theory Worth Investigating Conclusie: een plausibele theorie die het onderzoeken waard is Terwijl definitief bewijs dat Salt Typhoon verbindt met telecom cadeaukaartfraude momenteel ontbreekt, maakt circumstantieel bewijs een overtuigende zaak. Salt Typhoon heeft al veel telco's overtreden en hun expertise in netwerkinbraak en gegevensextractie plaatst hen als primaire verdachten. Als Salt Typhoon werkelijk verantwoordelijk is, markeert het een gevaarlijke nieuwe richting voor door de staat gesponsorde cybercriminaliteit waarin hackers financiële fraude faciliteren en niet alleen spionage. Aangezien cyberbeveiligingsbedreigingen blijven evolueren, moeten consumenten en bedrijven net zo waakzaam blijven, gevoelige informatie buiten bereik houden van tegenstanders nationaal-staatsactoren.
