Menu dostępności

Jedna z agencji rządowych USA wzywa pracowników do ograniczenia korzystania z telefonów po ataku „Salt Typhoon’ Hack”!

Jedna z agencji rządowych USA wzywa pracowników do ograniczenia korzystania z telefonów po ataku „Salt Typhoon’ Hack”!

W pierwszym tygodniu listopada br. amerykańskie Biuro Ochrony Konsumentów Finansowych (CFPB) nakazało pracownikom ograniczenie korzystania z telefonów komórkowych do czynności służbowych po włamaniu do głównych systemów telekomunikacyjnych. Atak przypisywany jest chińskim hakerom rządowym.

Według raportu Wall Street Journal (WSJ) agencja wysłała e-mail do wszystkich pracowników i kontrahentów z prostą dyrektywą: „NIE wykonuj pracy w CFPB za pomocą połączeń głosowych ani wiadomości tekstowych”.

Ostrzeżenie pojawiło się tuż po serii włamań do amerykańskich firm telekomunikacyjnych i dostawców szerokopasmowego Internetu, o które obwiniano Salt Typhoon, operację hakerską wspieraną przez chiński rząd. Grupa włamała się do firm takich jak Verizon, AT&T i Lumen Technologies i wykorzystała dostęp do inwigilacji polityków i krytycznych systemów komunikacyjnych.

„Chociaż nie ma dowodów na to, że CFPB zostało zaatakowane przez ten nieautoryzowany dostęp, proszę o przestrzeganie tych dyrektyw, abyśmy mogli zmniejszyć ryzyko” – zaapelowało CFPB w komentowanym przez WSJ e-mailu.

Dziennik donosi, że kierownictwo ds. bezpieczeństwa CFPB zaleciło pracownikom unikanie omawiania niepublicznych danych za pośrednictwem połączeń głosowych lub wiadomości tekstowych na telefonach służbowych oraz prywatnych. Zamiast tego pracownicy rządowi otrzymali instrukcje, aby korzystać z nieskompromitowanych platform, takich jak Microsoft Teams i Cisco WebEx w celu ograniczenia ryzyka.

Chociaż CFPB zaprzeczyło, by jego systemy były bezpośrednio atakowane, dyrektywa ta jest zgodna z zaleceniami służb federalnych, które obawiają się, że hakerzy przechwycili poufne komunikaty kluczowych urzędników rządowych USA, w tym wyższych decydentów i polityków.

Według doniesień chiński zespół hakerski wykradł dane zawierające nagrania rozmów telefonicznych ważnych celów w USA, w tym osób związanych z obiema stronami kampanii prezydenckiej.

Szczegóły techniczne i oficjalne informacje na temat włamań Salt Typhoon są utrzymywane w tajemnicy. Niemniej warto zauważyć, że zespół Black Lotus Labs w Lumen Technologies śledził wyrafinowanych aktorów zagrożeń powiązanych z Chinami, w tym Volt Typhoon i Flax Typhoon. Nie byłoby zaskoczeniem, gdyby firma wkrótce opublikowała raport także na temat działań Salt Typhoon.

Według WSJ Microsoft i inne firmy zajmujące się cyberbezpieczeństwem również badają ataki Salt Typhoon.

Najprawdopodobniej jest to ta sama grupa, która była opisywana jako FamousSparrow oraz GhostEmperor. W 2021 roku ESET opisał właśnie FamousSparrow jako grupę „cybernetycznego szpiegostwa”, działającą co najmniej od 2019 roku. Wtedy aktor zagrożeń brał na cel hotele, ale także organizacje rządowe, kancelarie prawne i międzynarodowe firmy w Brazylii, Kanadzie, Izraelu, Arabii Saudyjskiej, Tajwanie, a także Wielkiej Brytanii. Pisaliśmy o tym tutaj.

Nazwę GhostEmperor nadał  grupie Kasperksy, który w 2021 r. opisała ją jako wysoce wykwalifikowanego i zakamuflowanego aktora, którego głównym celem są podmioty telekomunikacyjne i rządowe w Azji Południowo-Wschodniej. Grupa została ponownie opisana pod koniec 2023 r., kiedy to Sygnia wykryła ataki dostarczające rootkita.

Popularne

Masowy wyciek danych PayPal – 15,8 miliona haseł w rękach cyberprzestępców

Masowy wyciek danych PayPal – 15,8 miliona haseł w rękach cyberprzestępców

16 sierpnia br. na forum cyberprzestępczym pojawiła się oferta sprzedaży ogromnej bazy danych, zawierającej ponad 15,8 miliona par adresów e-mail i haseł w formacie jawnego tekstu powiązanych z konta...
Groźna dziura w Microsoft IIS. Deserializacja usług może prowadzić do zdalnego wykonania kodu

Groźna dziura w Microsoft IIS. Deserializacja usług może prowadzić do zdalnego wykonania kodu

W połowie sierpnia 2025 roku ujawniono poważną lukę bezpieczeństwa w narzędziu Microsoft Web Deploy 4.0, używanym do publikacji aplikacji webowych na serwerach IIS. Luka – oznaczona jako CVE-2025-53772 – pozwal...
Wyciek kodu źródłowego trojana bankowego ERMAC V3.0

Wyciek kodu źródłowego trojana bankowego ERMAC V3.0

Świat cyberbezpieczeństwa odnotował kolejne znaczące wydarzenie – ujawniono pełny kod źródłowy zaawansowanego trojana bankowego ERMAC V3.0, stworzonego z myślą o urządzeniach z systemem Android i działające...
Co sprawia, że Deep Web jest cennym źródłem threat intelligence?

Co sprawia, że Deep Web jest cennym źródłem threat intelligence?

Deep Web, czyli warstwa Internetu niedostępna dla standardowych wyszukiwarek, często bywa pomijana w analizach bezpieczeństwa, mimo że stanowi niezwykle wartościowe źródło informacji o zagrożeniach. Jej tre...
Miliony laptopów Dell narażone na kompromitację

Miliony laptopów Dell narażone na kompromitację

Niedawno pisaliśmy o kłopotach Lenovo, dzisiaj czas na Dell. Okazuje się, że pięć luk w oprogramowaniu ControlVault3 i powiązanych interfejsach API systemu Windows naraża miliony laptopów na trwałe w...