Китайска хакерска група продължава да се насочва към мобилни оператори по целия свят - от февруари насам тя е компрометирала устройства, свързани със седем телекомуникационни компании, сочи бюлетин, който компания за киберсигурност наскоро е изпратила до клиентите си.
През последните пет месеца спонсорираната от китайската държава хакерска група, наричана обикновено „Солен тайфун“, е нарушила мрежови устройства на обекти в интернет, които са собственост на седем компании, включително американската телекомуникационна и медийна компания Comcast Corp, южноафриканската MTN Group Ltd. и южнокорейската LG Uplus Corp, показва докладът на фирмата за киберсигурност Recorded Future Inc. Bloomberg News е разгледала доклада при условие, че някои компании не се назовават.
В него се казва, че компрометираните устройства вероятно принадлежат на клиенти на тези седем компании, като не се уточнява кои са телекомуникационните фирми, в които е извършен пробивът.
Въпреки това той показва постоянните усилия на хакерите да проникнат в мрежите на телекомите и техните клиенти в световен мащаб - и успеха им в пробива на видовете устройства, които в миналото са предлагали възможности за проникване в мрежите на организациите. През ноември американски официални лица обвиняват групата в „мащабна кампания за кибершпионаж“, която е пробила телекомуникационни компании и се е насочила към телефоните на видни политици, сред които и тогавашния кандидат за президент Доналд Тръмп.
Преди това хакери са компрометирали привидно безобиден хардуер - като маршрутизатори, превключватели и други т.нар. крайни устройства - и са използвали този достъп за други, по-сериозни атаки. Такова оборудване обикновено се използва в инфраструктура, собственост на телекомуникационни компании, въпреки че клиентите на тези компании обикновено са действителните цели на хакерите, казва Пийт Реналс от фирмата за киберсигурност Palo Alto Networks Inc.
Comcast съобщава, че хакнатото устройство е собственост на неин клиент. Компанията е провела разследване, а собствената ѝ мрежа не е била засегната. LG Uplus също заявява, че устройството, през което е извършен пробивът, е собственост на неин клиент и проблемът не е свързан с вътрешните ѝ системи. MTN посочва, че не е установила кибератака от страна на групата хакери.
В свое изявление представител на китайското посолство във Вашингтон акцентира върху трудността да се определи произходът на хакерските атаки. Въпреки налагането на санкции правителството на САЩ „не е в състояние да представи убедителни и надеждни доказателства“, че китайското правителство стои зад пробивите, за които е обвинен „Соленият тайфун“, заявява представителят на посолството Лиу Пънгю.
„Надяваме се, че компетентните институции ще заемат професионално и отговорно отношение при определянето на киберинцидентите и ще основават заключенията си на достатъчно доказателства, а не на необосновани спекулации и обвинения“, заявява той.
След като хакерите са компрометирали мрежовия хардуер на интернет адреси, собственост на комуникационните компании, изследователите от Recorded Future са проследили тези устройства, които са „комуникирали“ с компютърните системи, използвани от нарушителите, се посочва в доклада. В документа не се уточнява същността или обхватът на тези комуникации, въпреки че Джонатан Луф, ръководител на екипа на Recorded Future, смята, че крайната цел на хакерите е била „да използват този първоначален достъп като отправна точка за проникване в чувствителното вътрешно ядро на телекомуникационните мрежи“.
„Соленият тайфун“ „продължава методично да се насочва към устройства на телекомуникационните мрежи, за да получи потенциален достъп до вътрешните системи на доставчиците“, казва Луф в имейл. Групата „продължава да представлява сериозна и значителна заплаха за американските и световните телекомуникационни мрежи, като излага на риск чувствителна информация и канали за комуникация“, каза той.
Според Recorded Future през зимата и пролетта на тази година хакерите са претърсили интернет, за да идентифицират стотици потенциално уязвими устройства в страни от цял свят. След това те са използвали стари, неотстранени уязвимости в киберсигурността, за да проникнат в някои от тях, се посочва в доклада.
През последните няколко месеца хакерите от групата „Солен тайфун“ са променили стратегията си, за да се насочат към подобни устройства по целия свят, казва Реналс от Palo Alto Networks.
„Насочването към телекомуникационните компании и излагането им на риск има пряко въздействие върху ежедневието на гражданите, тъй като тези мрежи са в основата на съвременното общество“, казва Реналс, старши мениджър по програмите за национална сигурност в отдел 42 на компанията за киберсигурност. „Соленият тайфун“ в последно време се насочва към безразборно поразяване на уязвими крайни мрежови устройства, което е също толкова обезпокоително.“
Представител на LG Uplus, която е собственост на LG Corp. отказва да идентифицира клиента, който е притежавал компрометираното устройство, но казва, че компанията се е насочила към него, „за да гарантира предприемането на подходящи мерки“ през април. Устройството не е било свързано с вътрешните системи на южнокорейския безжичен оператор, отбелязва представителят Сунгмин Парк.
„Не сме открили доказателства за по-нататъшни опити за хакерски атаки, насочени към нашата компания във връзка с този инцидент“, каза Парк.
Говорителят на Comcast Джоел Шадъл твърди, че базираната във Филаделфия компания е провела собствено разследване, работила е с правителствени следователи и „не е открила доказателства, че Соленият тайфун е засегнал Comcast“.
Според доклада на Recorded Future компрометираното устройство, свързано с интернет адрес на MTN, е било в Гана. MTN, който е най-големият оператор на мобилни мрежи в Африка, не е отговорил на въпросите, освен че не е открил кибератака от страна на „Соления тайфун“.
Последните опити за хакерски атаки на групата продължават кампанията, разкрита от американски официални лица миналата година, която е изложила на риск AT&T Inc, Verizon Communications Inc и поне още седем американски телекомуникационни компании. В тези пробиви хакерите са източили личните данни на милиони американци и са се насочили към телефоните на тогавашния кандидат за президент Тръмп, неговия кандидат за вицепрезидент Джей Ди Ванс и тогавашния вицепрезидент Камала Харис.
Андрю Реди, преподавател в Калифорнийския университет в Бъркли, заявява, че моделът на подкрепяните от китайското правителство хакери да се насочват към телекомуникационни компании им позволява да събират разузнавателна информация и „да поддържат постоянен достъп в случай на бъдеща криза“.