Salt Typhoon: скрытая рука за мошенничеством подарочной карты телекоммуникации?
13 июня 2025 г.Исследователи безопасности имеютпредупреждаютВ течение многих лет о растущей сложности спонсируемых государством хакерских групп, особенно из Китая. На радаре Конгресса. Отчет Конгресса Гова является печально известнымСемья тайфунов: Volt Typhoon, лент Typhoon и Salt Typhoon - фактически ориентируясь на государственные учреждения, критическую инфраструктуру и операторы телекоммуникаций в США.
Одна школа мышления предполагает, что хактивистская группа соль-тайфунов, учитывая ее склонность к поставщикам телекоммуникаций, может быть группой, стоящей за телекоммуникационнымПодарочная карта мошенничестваПолем Это широко распространенное финансовое мошенничество включает в себя несанкционированный доступ к внутренним записям клиентов, включая остатки на счетах.
Познакомьтесь с семьей тайфунов: членами кибер -шпионажа в Китае
· Volt Typhoon: оператор Stealth
Вольт тайфунявляется государственной группой киберпреступности, которая чаще всего нацелена на критическую инфраструктуру США, включая сектора связи, энергетики и транспорта. Вместо того, чтобы распространять вредоносное ПО, их Modus Operandi-это живая посадка (LOTL), которая использует встроенные инструменты сетевого администрирования, такие как PowerShell и инструментация управления Windows (WMIC), чтобы оставаться незамеченными, маскируя деятельность в качестве типичной системы Windows и поведения сети, тем самым уклоняясь от обнаружения. Их стратегия в конечной игре, по-видимому, предварительно расположена в ИТ-сетях, чтобы облегчить боковое движение к активам ОТ для нанесения вреда кибератаке в случае растущей геополитической напряженности.
· Лен yphoon: The Silent Observer
Лен yphoonНацеливается на долгосрочный шпионаж, не только критическую инфраструктуру, но и широкий спектр организаций, включая государственные учреждения и коммерческие организации. Они берут на себя тысячи устройств, подключенных к Интернету, такие как камеры, видеомагнитоны и устройства для хранения, чтобы сформировать ботнер, который они используют для компромиссных систем и кражи конфиденциальной информации. Их атаки обычно встречаются с использованием известных уязвимостей в предприятиях. Их стратегия с низким и словом позволяет группе поддерживать долгосрочный доступ без обнаружения групп службы безопасности, что указывает на то, что группа молча создает для будущих кибер-разрушений.
· Соль Typhoon: Telecom Intruder
Соль Typhoonявляется наиболее важной группой в этом случае. В отличие от Volt и лена, Salt Typhoon специально нацелен на поставщиков телекоммуникаций США. Он смог нарушить почти каждую крупную американскую телекоммуникационную компанию, в том числе те, кто обрабатывает мобильные и широкополосные услуги, в первую очередь путем использования уязвимостей в сетевом оборудовании, таких как маршрутизаторы и коммутаторы.
Salt Typhoon также нарушил Америкуюридически санкционированные сети перехватаСвязанный с Законом о помощи по связям с коммуникацией для правоохранительных органов 1994 года (CALEA). В соответствии с этим регулированием телекоммуникационные компании должны разрабатывать свои сети для облегчения прослушивания подозрительных целей под активным наблюдением в соответствии с поручением Calea. Это включает в себя записи вызовов, которые предоставляют время, длину и стороны, участвующие в разговорах, а также информацию о геолокации, используемая для отслеживания вызовов и шаблонов путешествий.
Salt Typhoon успешнонарушенСистемы Calea в нескольких крупных телекоммуникационных компаниях, предоставляя им возможность увидеть, какие номера телефонов в настоящее время находятся под наблюдением, перехватывают телефонные звонки и текстовые сообщения из выбранных целей, доступ к метаданным для отслеживания метаданных или текстовых текстов и для кого, идентифицируя башню сотовой связи, из которой возникла связь, раскрывая цели приблизительного местоположения.
В то время как основной целью Salt Typhoon является шпионаж, ее доступ к внутренним базам данных клиентов вызывает обеспокоенность по поводу потенциального финансового мошенничества. Если Salt Typhoon успешно проникла не только Comcast xfinity, но итакжеAT & T и Spectrum, он мог бы извлечь баланс учетных записей клиента, позволяя мошенникам выдавать себя за представителей службы и манипулировать жертвами участия в мошеннических сделках.
Мошенничество подарочной карты Comcast: скоординированная кибератака?
АМошенничество с подарочной картой comcastВовлекает мошенников, связывающихся с подписчиками и утверждая, что они имеют право на повышение скидки. Жертвы просят приобрести подарочные карты и прочитать номер карты обратно представителю услуги, чтобы получить свой приз. Однако, как только они получают номера подарочных карт, мошенники обналичили их, а жертвы теряют деньги.
Большой вопрос здесь заключается в том, как мошенники получили такую конфиденциальную информацию о внутренней клиенте. У Crooks была полная информация о учетных записях клиентов, включая планы и противовес, что -то, что возможно только посредством инсайдерских знаний или путем доступа к внутренним сетям. Принимая во внимание проникновение Солт Тайфуна операторами телекоммуникационных операторов, вполне возможно, что они использовали непреднамеренные уязвимости, нарушая базы данных клиентов?
Известно, что Salt Typhoon использует методы кражи полномочий, позволяя ему перемещаться в боковом направлении в сетях. Оказавшись внутри инфраструктуры Comcast, они могли бы получить доступ к порталам обслуживания клиентов для получения остатков на счетах и личных данных. Извлеченные данные клиента Comcast могли быть проданы мошенникам, что позволило им нацелиться на жертв с точными деталями учетной записи (например, последних четырех выплат и предстоящих сборов), тем самым легко облегчая их операции по мошенничеству.
Как компании могут защищаться от таких атак
Чтобы смягчить риски со стороны солевого тайфуна и аналогичных групп APT, поставщики телекоммуникаций должны:
• Внедрить безопасность Zero Trust:Ограничьте доступ к частным данным, позволяя только утвержденным сотрудникам увидеть информацию об учетной записи клиента. Разделите критические системы, чтобы злоумышленники не проходили в сеть. Используйте микросегментацию, чтобы содержать распространение атаки во внутренних сетях.
• Повысить видимость сети:Развертывают передовые системы обнаружения угроз, такие как обнаружение аномалий, управляемое AI, и поведенческая аналитика для выявления необычной активности в внутренних базах данных.
• Уязвимости исправления быстро:Соли Typhoon Targets Известные уязвимости безопасности, поэтому регулярное поддержание систем имеет решающее значение. Реализовать CISA-рекордные исправления безопасности для телекоммуникационной инфраструктуры. Создайте стратегии в конце жизни для технологий за пределами поддерживаемого жизненного цикла производителя, чтобы обеспечить безопасность системы.
• Усилить механизмы аутентификации:Реализуйте MFA для всех внутренних систем, обрабатывая информацию о клиентах. Реализовать решения MFA, которые могут сопротивлятьсяфишингДля дальнейшего обеспечения учетных записей. Регулярно вращать административные учетные данные, чтобы злоумышленники не использовали украденные учетные данные для боковых атак.
• Обучить клиентов о мошенничестве:Поставщики телекоммуникаций должны предупредить клиентов о мошеннических схемах и должны пропагандировать обучение по управлению рисками и информированием о безопасности человека для своих корпоративных клиентов, чтобы помочь выявить и распознавать контрольные признаки попыток социальной инженерии и фишинга.
Заключение: правдоподобная теория, достойная изучения
В то время как окончательное доказательство, соединяющее соль -тайфун с мошенничеством с подарочной картой телекоммуникаций, в настоящее время не хватает, косвенные доказательства свидетельствуют о убедительных случаях. Salt Typhoon уже нарушил многие телекоммуникационные компании, и их опыт в вторжении в сеть и извлечении данных позиционирует их в качестве первоклассных подозреваемых. Если Salt Typhoon действительно несет ответственность, это отмечает новое опасное направление для спонсируемого государством киберпреступности, в которой хакеры способствуют финансовому мошенничеству, а не просто шпионажу. Поскольку угрозы кибербезопасности продолжают развиваться, как потребители, так и предприятия должны оставаться бдительной, не досягали о том, чтобы удерживать конфиденциальную информацию от состязательных субъектов национального государства.
Оригинал