Η αμερικανική εταιρεία τηλεπικοινωνιών T-Mobile επιβεβαίωσε ότι ήταν στόχος Κινέζων hackers, οι οποίοι επιδίωξαν πρόσβαση σε ευαίσθητες πληροφορίες.

Οι hackers, γνωστοί ως Salt Typhoon, παραβίασαν την εταιρεία στο πλαίσιο μιας «πολύμηνης εκστρατείας» για τη συλλογή επικοινωνιών κινητής τηλεφωνίας από «στόχους υψηλής αξίας πληροφοριών». Η φύση των πληροφοριών που πιθανόν να αποκτήθηκαν παραμένει ασαφής.
Δείτε σχετικά: Η ομάδα Salt Typhoon παραβίασε εταιρείες τηλεπικοινωνίας των ΗΠΑ
«Η T-Mobile παρακολουθεί προσεκτικά αυτή την επίθεση των hackers και, μέχρι στιγμής, τα συστήματα και τα δεδομένα της δεν έχουν επηρεαστεί σημαντικά. Δεν έχουμε αποδείξεις για επιπτώσεις στις πληροφορίες των πελατών», δήλωσε εκπρόσωπος της εταιρείας στην The Wall Street Journal. «Θα συνεχίσουμε την παρακολούθηση αυτού του θέματος, συνεργαζόμενοι με ομοειδείς εταιρείες και τις αρμόδιες αρχές».
Με την τελευταία αυτή εξέλιξη, η T-Mobile εντάσσεται σε μια λίστα μεγάλων οργανισμών όπως η AT&T, η Verizon και η Lumen Technologies που στοχοποιήθηκαν στο πλαίσιο μιας εκτεταμένης εκστρατείας κυβερνοκατασκοπείας. Αναφορές δεν έχουν καταγράψει επιτυχία αυτών των επιθέσεων ή αν εγκαταστάθηκε κακόβουλο λογισμικό. Η πρόσβαση του Salt Typhoon στα δεδομένα κινητών τηλεφώνων των Αμερικανών αποκαλύφθηκε προηγουμένως από το Politico. Η αμερικανική κυβέρνηση δήλωσε ότι η συνεχιζόμενη έρευνά της αποκάλυψε μια «ευρεία και σημαντική» παραβίαση από τη Λαϊκή Δημοκρατία της Κίνας (PRC).
Διαβάστε επίσης: ΗΠΑ: Οι Κινέζοι hackers Salt Typhoon παραβίασαν παρόχους υπηρεσιών Διαδικτύου
Οι Κινέζοι παράγοντες φέρεται να παραβίασαν δίκτυα πολλών τηλεπικοινωνιακών εταιρειών για να κλέψουν δεδομένα καταγραφής κλήσεων πελατών, να παραβιάσουν ιδιωτικές επικοινωνίες ατόμων με κυβερνητική ή πολιτική δραστηριότητα και να αντιγράψουν συγκεκριμένες πληροφορίες που υπόκεινται σε αιτήματα επιβολής νόμου των ΗΠΑ. Προειδοποιείται ότι η έκταση αυτών των παραβιάσεων μπορεί να αυξηθεί καθώς συνεχίζεται η έρευνα.
Η πιο περίπλοκη ακολουθία μόλυνσης περιλαμβάνει εκμετάλλευση ευάλωτων διακομιστών Microsoft Exchange για εγκατάσταση του web shell China Chopper, που χρησιμοποιείται για την παράδοση του Cobalt Strike, Zingdoor και Snappybee. Οι παραδόσεις αυτών των backdoors γίνονται είτε μέσω διακομιστή εντολών και ελέγχου είτε με χρήση του cURL για λήψη από ελεγχόμενους διακομιστές.
Η συλλογή εγγράφων γίνεται μέσω RAR και εξάγεται με χρήση του cURL, στέλνοντας δεδομένα σε ανώνυμες υπηρεσίες διαμοιρασμού αρχείων. Προγράμματα όπως το NinjaCopy και το PortScan χρησιμοποιούνται για εξαγωγή διαπιστευτηρίων και χαρτογράφηση δικτύου. Η επιμονή επιτυγχάνεται με προγραμματισμένες εργασίες. Σε μια περίπτωση, πιστεύεται ότι το Salt Typhoon επαναχρησιμοποίησε έναν διακομιστή μεσολάβησης θύματος για να προωθήσει την κίνηση στον πραγματικό C2 server, αποκρύπτοντας την κακόβουλη κυκλοφορία.

Δείτε περισσότερα: Salt Typhoon hack: Οι Κυβερνητικοί υπάλληλοι προτρέπονται να περιορίσουν τη χρήση τηλεφώνου
Η Trend Micro σημείωσε ότι μια από τις μολυσμένες μηχανές φιλοξενούσε τα backdoors Cryptmerlin και FuxosDoor, σχεδιασμένα για εκτέλεση εντολών. «Η ανάλυσή μας αποκαλύπτει έναν περίπλοκο και προσαρμοστικό κακόβουλο παράγοντα που χρησιμοποιεί διάφορα εργαλεία και backdoors, προσφέροντας τεχνικές ικανότητες και στρατηγική προσέγγιση για τη διατήρηση πρόσβασης σε παραβιασμένα περιβάλλοντα», ανέφεραν οι ερευνητές. «Το Earth Estries έχει δείξει κατανόηση των περιβαλλόντων στόχων τους, δημιουργώντας μια πολύπλοκη στρατηγική επίθεσης που είναι δύσκολο να εντοπιστεί και να μετριαστεί».
Πηγή: thehackernews