Tin tặc khai thác T-Mobile và các công ty viễn thông khác của Hoa Kỳ

Hãng viễn thông Hoa Kỳ T-Mobile đã xác nhận rằng công ty cũng nằm trong số các công ty bị các tác nhân đe dọa từ Trung Quốc nhắm tới để truy cập vào thông tin có giá trị.

Nhóm gián điệp được theo dõi với tên gọi Salt Typhoon, đã xâm nhập vào các công ty của Hoa Kỳ. Đây là một phần của chiến dịch kéo dài nhiều tháng được thiết kế để thu thập thông tin liên lạc qua điện thoại di động của các mục tiêu tình báo có giá trị cao.

Với diễn biến mới nhất, T-Mobile đã gia nhập danh sách các tổ chức lớn như AT&T, Verizon và Lumen Technologies bị chỉ đích danh là mục tiêu của chiến dịch gián điệp mạng toàn diện.

Cho đến nay, các báo cáo không đề cập đến mức độ thành công của các cuộc tấn công này, liệu có bất kỳ loại phần mềm độc hại nào được cài đặt hay không hoặc chúng nhắm đến loại thông tin nào. 

Chính phủ Hoa Kỳ cho biết đang tiến hành các cuộc điều tra về việc nhắm mục tiêu vào cơ sở hạ tầng viễn thông thương mại, tiết lộ một vụ tấn công với quy mô lớn do Cộng hòa Nhân dân Trung Hoa (PRC) chỉ đạo. Báo cáo cũng nêu rằng các tác nhân có liên hệ với Cộng hòa Nhân dân Trung Hoa đã xâm nhập vào mạng lưới tại nhiều công ty viễn thông để đánh cắp dữ liệu hồ sơ cuộc gọi của khách hàng, xâm phạm các thông tin liên lạc riêng tư của một số cá nhân chủ yếu tham gia vào hoạt động chính phủ hoặc chính trị và sao chép một số thông tin thuộc đối tượng yêu cầu của cơ quan thực thi pháp luật Hoa Kỳ theo lệnh của tòa án.

Salt Typhoon (còn được gọi là Earth Estries, FamousSparrow, GhostEmperor và UNC2286) được cho là đã hoạt động ít nhất từ ​​năm 2020. Vào tháng 8/2023, nhóm gián điệp đã liên kết với một loạt các cuộc tấn công nhằm vào chính phủ và các ngành công nghiệp công nghệ có trụ sở tại Philippines, Đài Loan, Malaysia, Nam Phi, Đức và Hoa Kỳ

Phân tích cho thấy những kẻ tấn công đã tạo ra các phần mềm độc hại một cách có phương pháp và sử dụng sự kết hợp thú vị giữa các công cụ và kỹ thuật hợp pháp, chuyên dụng để vượt qua hàng phòng thủ và duy trì quyền truy cập vào mục tiêu của chúng.

"Earth Estries duy trì tính bền bỉ bằng cách liên tục cập nhật các công cụ và sử dụng các cửa hậu để di chuyển ngang hàng và đánh cắp thông tin đăng nhập", các nhà nghiên cứu cho biết trong một phân tích đầy đủ được công bố vào đầu tháng 11.

Trong một loạt các cuộc tấn công, kẻ tấn công đã bị phát hiện lợi dụng các cài đặt QConvergeConsole dễ bị tấn công hoặc cấu hình sai để phát tán phần mềm độc hại như Cobalt Strike, một trình đánh cắp dựa trên Go tùy chỉnh có tên là TrillClient và các cửa hậu như HemiGate và Crowdoor, một biến thể của SparrowDoor trước đây đã được một nhóm khác có liên hệ với Trung Quốc có tên là Tropic Trooper sử dụng.

Một số kỹ thuật khác bao gồm việc sử dụng PSExec để cài đặt các công cụ và cửa hậu theo chiều ngang và TrillClient để thu thập thông tin đăng nhập người dùng từ hồ sơ người dùng trên trình duyệt web và đánh cắp chúng vào tài khoản Gmail do kẻ tấn công kiểm soát thông qua Simple Mail Transfer Protocol (SMTP) để đạt được mục tiêu của mình.

Ngược lại, trình tự lây nhiễm thứ hai phức tạp hơn nhiều, khi kẻ tấn công lợi dụng các máy chủ Microsoft Exchange dễ bị tấn công để cấy shell web China Chopper, sau đó được sử dụng để phát tán Cobalt Strike, Zingdoor và Snappybee (hay còn gọi là Deed RAT), một phiên bản kế nhiệm của phần mềm độc hại ShadowPad .

Ngoài ra, các chương trình như NinjaCopy để trích xuất thông tin xác thực và PortScan để khám phá và lập bản đồ mạng cũng được sử dụng trong các cuộc tấn công. Tính bền bỉ trên máy chủ được thực hiện thông qua các tác vụ theo lịch trình.