Chinese staats-hackers, bekend als Salt Typhoon, hackten telecombedrijven in tientallen landen. Dit meldde Anne Neuberger, de plaatsvervangend nationaal veiligheidsadviseur van president Biden.
Tijdens een persconferentie op 4 december, waarvan BleepingComputer verslag doet, verklaarde de ambtenaar van het Witte Huis dat deze inbreuken acht telecombedrijven in de Verenigde Staten omvatten.
Hoewel deze aanvallen waarschijnlijk al “één tot twee jaar” aan de gang zijn, voegde Neuberger eraan toe: “We geloven op dit moment niet dat geclassificeerde communicatie is gecompromitteerd.” Wall Street Journal meldde dat eerder wel.
Wereldwijde Chinese campagne
“De Chinezen hebben private bedrijven gecompromitteerd door kwetsbaarheden in hun systemen uit te buiten. Dit als onderdeel van een wereldwijde Chinese campagne die tientallen landen trof.”
“Wij kunnen niet met zekerheid zeggen dat de vijand volledig is verwijderd. Vooral omdat we de volledige omvang van wat zij doen nog niet begrijpen. Dat proberen we samen met onze partners te achterhalen.” Dat zei een hoge functionaris van CISA (Cybersecurity and Infrastructure Security Agency) tijdens een persgesprek op dinsdag.
Op dinsdag adviseerden CISA- en FBI-functionarissen Amerikanen om over te stappen op versleutelde berichtenapps. Dit om de kans te verkleinen dat Chinese hackers hun communicatie onderscheppen.
“Encryptie is je vriend”
“Onze aanbeveling, die we intern communiceerden, is hier niet nieuw. Encryptie is je vriend, of het nu gaat om tekstberichten of als je de mogelijkheid hebt om versleutelde spraakcommunicatie te gebruiken,” zeiden ze. “Zelfs als de vijand de gegevens weet te onderscheppen, maakt encryptie het onmogelijk om deze te lezen.”
De Chief Security Officer van T-Mobile, die vorige week zei dat de systemen van het bedrijf waren gehackt via het netwerk van een aangesloten wireline-provider, beweert dat T-Mobile geen aanvallersactiviteit meer binnen zijn netwerk waarneemt.
Ook bekend onder namen zoals FamousSparrow, Earth Estries, Ghost Emperor en UNC2286, pleegde deze door de staat gesteunde hackersgroep in elk geval al sinds 2019 inbraken bij overheidsinstanties en telecombedrijven in Zuidoost-Azië.
De Salt Typhoon telecomhacks
CISA en de FBI bevestigden de hacks eind oktober, na rapporten dat Salt Typhoon de netwerken van meerdere telecombedrijven, waaronder T-Mobile, Verizon, AT&T en Lumen Technologies, had gecompromitteerd.
De federale instanties onthulden later dat de aanvallers de “privécommunicatie” van een “beperkt aantal” Amerikaanse overheidsfunctionarissen compromitteerden en toegang kregen tot het aftapplatform van de Amerikaanse overheid. Ook stalen ze gegevens over verzoeken van wetshandhavingsinstanties. Alsmede de belgeschiedenis van klanten.
Hoewel de exacte timing van de inbreuken op telecomnetwerken onduidelijk is, meldde Wall Street Journal dat Chinese hackers maandenlang of langer toegang hadden. Hierdoor konden ze aanzienlijke hoeveelheden internetverkeer stelen van internetproviders die Amerikaanse bedrijven en miljoenen klanten bedienen.
Nieuwe richtlijnen
Op dinsdag gaf CISA richtlijnen vrij om systeembeheerders en ingenieurs die communicatie-infrastructuur beheren te helpen hun systemen te versterken tegen Salt Typhoon-aanvallen.
In samenwerking met de FBI, NSA en internationale partners bevat dit gezamenlijke advies tips voor het versterken van netwerkbeveiliging om het aanvalsoppervlak te verkleinen dat door de Chinese hackers wordt aangevallen. Denk daarbij aan niet-gepatchte apparaten, kwetsbare diensten die online toegankelijk zijn, en over het algemeen minder beveiligde omgevingen.