W pierwszym tygodniu listopada br. amerykańskie Biuro Ochrony Konsumentów Finansowych (CFPB) nakazało pracownikom ograniczenie korzystania z telefonów komórkowych do czynności służbowych po włamaniu do głównych systemów telekomunikacyjnych. Atak przypisywany jest chińskim hakerom rządowym.
Według raportu Wall Street Journal (WSJ) agencja wysłała e-mail do wszystkich pracowników i kontrahentów z prostą dyrektywą: „NIE wykonuj pracy w CFPB za pomocą połączeń głosowych ani wiadomości tekstowych”.
Ostrzeżenie pojawiło się tuż po serii włamań do amerykańskich firm telekomunikacyjnych i dostawców szerokopasmowego Internetu, o które obwiniano Salt Typhoon, operację hakerską wspieraną przez chiński rząd. Grupa włamała się do firm takich jak Verizon, AT&T i Lumen Technologies i wykorzystała dostęp do inwigilacji polityków i krytycznych systemów komunikacyjnych.
„Chociaż nie ma dowodów na to, że CFPB zostało zaatakowane przez ten nieautoryzowany dostęp, proszę o przestrzeganie tych dyrektyw, abyśmy mogli zmniejszyć ryzyko” – zaapelowało CFPB w komentowanym przez WSJ e-mailu.
Dziennik donosi, że kierownictwo ds. bezpieczeństwa CFPB zaleciło pracownikom unikanie omawiania niepublicznych danych za pośrednictwem połączeń głosowych lub wiadomości tekstowych na telefonach służbowych oraz prywatnych. Zamiast tego pracownicy rządowi otrzymali instrukcje, aby korzystać z nieskompromitowanych platform, takich jak Microsoft Teams i Cisco WebEx w celu ograniczenia ryzyka.
Chociaż CFPB zaprzeczyło, by jego systemy były bezpośrednio atakowane, dyrektywa ta jest zgodna z zaleceniami służb federalnych, które obawiają się, że hakerzy przechwycili poufne komunikaty kluczowych urzędników rządowych USA, w tym wyższych decydentów i polityków.
Według doniesień chiński zespół hakerski wykradł dane zawierające nagrania rozmów telefonicznych ważnych celów w USA, w tym osób związanych z obiema stronami kampanii prezydenckiej.
Szczegóły techniczne i oficjalne informacje na temat włamań Salt Typhoon są utrzymywane w tajemnicy. Niemniej warto zauważyć, że zespół Black Lotus Labs w Lumen Technologies śledził wyrafinowanych aktorów zagrożeń powiązanych z Chinami, w tym Volt Typhoon i Flax Typhoon. Nie byłoby zaskoczeniem, gdyby firma wkrótce opublikowała raport także na temat działań Salt Typhoon.
Według WSJ Microsoft i inne firmy zajmujące się cyberbezpieczeństwem również badają ataki Salt Typhoon.
Najprawdopodobniej jest to ta sama grupa, która była opisywana jako FamousSparrow oraz GhostEmperor. W 2021 roku ESET opisał właśnie FamousSparrow jako grupę „cybernetycznego szpiegostwa”, działającą co najmniej od 2019 roku. Wtedy aktor zagrożeń brał na cel hotele, ale także organizacje rządowe, kancelarie prawne i międzynarodowe firmy w Brazylii, Kanadzie, Izraelu, Arabii Saudyjskiej, Tajwanie, a także Wielkiej Brytanii. Pisaliśmy o tym tutaj.
Nazwę GhostEmperor nadał grupie Kasperksy, który w 2021 r. opisała ją jako wysoce wykwalifikowanego i zakamuflowanego aktora, którego głównym celem są podmioty telekomunikacyjne i rządowe w Azji Południowo-Wschodniej. Grupa została ponownie opisana pod koniec 2023 r., kiedy to Sygnia wykryła ataki dostarczające rootkita.