T-Mobile

T-モバイルによると、一連の通信侵害の一環として最近同社のシステムに侵入した中国の「ソルト・タイフーン」ハッカーは、まず同社のルーターの一部にハッキングし、ネットワーク内を横方向に移動する方法を探った。

しかし、同社のエンジニアは、脅威者がネットワーク上でさらに拡散し、顧客情報にアクセスする前にブロックしたという。

Earth Estries、FamousSparrow、Ghost Emperor、UNC2286としても追跡されているこの中国国家をスポンサーとする脅威グループは、少なくとも2019年から活動しており、通常、東南アジアの政府機関や通信会社への侵入に焦点を当てている。

同社の最高セキュリティ責任者であるジェフ・サイモンは、水曜日に公開されたブログ記事で、接続された有線プロバイダーのネットワークから発信された脅威行為者の攻撃は、プロアクティブな監視やネットワークのセグメンテーションを含むT-モバイルのサイバー防御によって阻止されたことを共有した。

サイモン氏がブルームバーグに語ったところによると、同社は、サイバー攻撃の偵察段階で通常使用されるコマンドが同社のルーターの一部で実行されていたことや、以前Salt Typhoonに関連していた侵害の指標と一致するコマンドを含む、不審な動作を検出した後に侵害を発見した。

「多くの報道では、これらの悪質な行為者は、電話、テキストメッセージ、その他の機密情報、特に政府関係者からの情報など、いくつかのプロバイダーの顧客情報に長期間にわたってアクセスしたとされている。これはT-Mobilのケースではありません。

「T-Mobilの防御は、顧客の機密情報を守り、サービスの中断を防ぎ、攻撃の進行を阻止しました。悪質業者は、顧客の機密データ(通話、ボイスメール、テキストを含む)にアクセスできませんでした。

“我々は、プロバイダーのネットワークが危険にさらされていた(そして今もさらされている可能性がある)と考えているため、プロバイダーのネットワークへの接続を速やかに遮断した”

T-モバイルのCSOは、同社はもはやネットワーク内で活動している攻撃者を見ておらず、政府および業界パートナーと調査結果を共有していると付け加えた。

最近のソルト・タイフーン通信攻撃で侵入される

T-モバイルの本日の声明は、同社が2週間前に発表した、最近相次いだソルト・タイフーン通信侵害で同社のシステムが侵害されたことを受けたものである。

CISAとFBIは、中国の脅威グループがAT&T、ベライゾン、ルーメン・テクノロジーズを含む複数のブロードバンド・プロバイダーに侵入したという報告を受け、10月下旬に侵入を確認した

その後、2つの連邦政府機関は、攻撃者が「限られた人数」の政府関係者の「私的通信」を侵害し、顧客の通話記録や法執行機関の要請データを盗み出し、米国政府の盗聴プラットフォームにアクセスしたことを明らかにした。

WSJの報道によると、通信大手のネットワークが最初に侵入された時期は不明だが、中国のハッカーたちは「数カ月あるいはそれ以上」アクセスしていたという。そのため、「大小の企業や何百万人ものアメリカ人を顧客とするインターネット・サービス・プロバイダーから、膨大な量のインターネット・トラフィックを収集し、盗み出すことができた」と、この問題に詳しい関係者は語っている。

カナダは先月も、連邦政党、上院、下院を含む国内の多くの機関や部局が、無名の中国国家ハッカーに関連する広範なネットワークスキャンで標的にされていたことを明らかにした。

無関係と思われるが、同様の攻撃では、中国の脅威グループVolt Typhoonが、Versa Directorのゼロデイ攻撃で盗まれた認証情報を使って企業ネットワークをハッキングした後、米国とインドの複数のISPとMSPを追跡してハッキングした。