T-Mobile affirme que les pirates informatiques chinois « Salt Typhoon » qui ont récemment compromis ses systèmes dans le cadre d’une série de violations des télécommunications ont d’abord piraté certains de ses routeurs pour explorer des moyens de naviguer latéralement sur le réseau.
Cependant, l’entreprise affirme que ses ingénieurs ont bloqué les acteurs de la menace avant qu’ils ne puissent se propager davantage sur le réseau et accéder aux informations des clients.
Également connu sous le nom de Earth Estries, FamousSparrow, Ghost Emperor et UNC2286, ce groupe de menaces parrainé par l’État chinois est actif depuis au moins 2019 et se concentre généralement sur la violation d’entités gouvernementales et d’entreprises de télécommunications en Asie du Sud-Est.
Jeff Simon, directeur de la sécurité de l’entreprise, a partagé dans un article de blog publié mercredi que l’attaque des acteurs de la menace—provenant du réseau d’un fournisseur filaire connecté—a été stoppée par les cyberdéfenses de T-Mobile, y compris la surveillance proactive et la segmentation du réseau.
La société a découvert la violation après avoir détecté un comportement suspect, y compris des commandes généralement utilisées dans la phase de reconnaissance des cyberattaques exécutées sur certains de ses routeurs et des commandes correspondant à des indicateurs de compromission précédemment liés à Salt Typhoon, comme Simon l’a déclaré à Bloomberg.
« De nombreux rapports affirment que ces mauvais acteurs ont eu accès aux informations sur les clients de certains fournisseurs sur une longue période de temps – appels téléphoniques, SMS et autres informations sensibles, en particulier de la part de représentants du gouvernement. Ce n’est pas le cas chez T-Mobil », a déclaré Simon.
« Nos défenses ont protégé les informations sensibles de nos clients, empêché toute perturbation de nos services et empêché l’attaque de progresser. Les acteurs malveillants n’avaient pas accès aux données sensibles des clients (y compris les appels, les messages vocaux ou les SMS).
« Nous avons rapidement coupé la connectivité au réseau du fournisseur car nous pensons qu’elle était – et pourrait encore être – compromise. »
L’OSC de T-Mobile a ajouté que la société ne voyait plus d’attaquants actifs au sein de son réseau et avait partagé ses conclusions avec le gouvernement et les partenaires de l’industrie.
Violé lors des récentes attaques de télécommunications par le typhon Salt
La déclaration de T-Mobile d’aujourd’hui fait suite à l’annonce de la société il y a deux semaines que ses systèmes avaient été compromis lors d’une récente vague de violations des télécommunications par le typhon Salt.
CISA et le FBI ont confirmé les violations fin octobre à la suite d’informations selon lesquelles le groupe de menaces chinois aurait violé plusieurs fournisseurs de haut débit, notamment AT&T, Verizon et Lumen Technologies.
Les deux agences fédérales ont révélé plus tard que les attaquants avaient compromis les « communications privées » d’un « nombre limité » de représentants du gouvernement, volé les enregistrements des appels des clients et les données des demandes des forces de l’ordre, et avaient eu accès à la plate-forme d’écoute électronique du gouvernement américain.
Même si on ne sait pas quand les réseaux des géants des télécommunications ont été piratés pour la première fois, les pirates chinois y ont eu accès « pendant des mois ou plus », selon un rapport du WSJ. Cela leur a permis de collecter et de voler de grandes quantités de « trafic Internet auprès de fournisseurs de services Internet qui comptent parmi leurs clients des entreprises, grandes et petites, et des millions d’Américains », selon des personnes familières avec le sujet.
Le Canada a également révélé le mois dernier que de nombreux organismes et ministères du pays, y compris les partis politiques fédéraux, le Sénat et la Chambre des communes, avaient été ciblés dans de vastes analyses de réseau liées à des pirates informatiques d’État chinois anonymes.
Dans des attaques similaires, bien que probablement sans rapport, le groupe de menaces chinois Volt Typhoon a suivi et piraté plusieurs FAI et MSP aux États-Unis et en Inde après avoir piraté leurs réseaux d’entreprise à l’aide d’informations d’identification volées par des attaques zero-day de Versa Director.