Recenti rivelazioni hanno fatto emergere che T-Mobile, uno dei giganti delle telecomunicazioni negli Stati Uniti, è stato bersaglio di attacchi informatici orchestrati da hacker cinesi noti come Salt Typhoon. Questi attacchi sono parte di una campagna di spionaggio cibernetico più ampia, mirata a raccogliere comunicazioni cellulari di obiettivi di alto valore. Non è ancora chiaro se e quali informazioni siano state esfiltrate durante queste operazioni.

Un portavoce di T-Mobile ha dichiarato che, al momento, i sistemi e i dati della compagnia non sembrano essere stati compromessi in modo significativo. L'azienda sta monitorando attentamente la situazione, lavorando in collaborazione con altri operatori del settore e le autorità competenti. T-Mobile si unisce così ad altre grandi aziende come AT&T, Verizon e Lumen Technologies, anch'esse prese di mira in questa operazione di spionaggio cibernetico.

Conferme dal governo degli Stati Uniti

Il governo degli Stati Uniti ha recentemente confermato che l'attacco è stato orchestrato dalla Repubblica Popolare Cinese, coinvolgendo la compromissione di reti di diverse aziende di telecomunicazioni. Questi attacchi miravano a rubare dati delle chiamate dei clienti e a compromettere comunicazioni private di individui coinvolti principalmente in attività governative o politiche. L'indagine è ancora in corso e non si esclude che la portata delle compromissioni possa crescere.

Chi è Salt Typhoon?

Salt Typhoon, noto anche con altri nomi come Earth Estries e GhostEmperor, è attivo almeno dal 2020. Questo gruppo ha già colpito governi e industrie tecnologiche in vari paesi tra cui Filippine, Taiwan, Malesia, e Stati Uniti. Gli attacchi dimostrano un uso metodico di strumenti legittimi e personalizzati per bypassare le difese e mantenere l'accesso ai loro obiettivi.

Metodologie di attacco

Gli attacchi iniziali vengono facilitati sfruttando vulnerabilità nei servizi esterni o nei software di gestione remota. In alcuni casi, gli hacker hanno utilizzato installazioni vulnerabili di QConvergeConsole per distribuire malware come Cobalt Strike e backdoor personalizzate. In altri scenari, i server Microsoft Exchange vulnerabili sono stati sfruttati per distribuire ulteriori backdoor e strumenti.

I metodi utilizzati per esfiltrare dati includono l'uso di programmi come NinjaCopy per estrarre credenziali e PortScan per la scoperta e mappatura della rete. Gli attacchi rivelano una sofisticazione crescente nel panorama delle minacce cibernetiche, dimostrando la necessità per le aziende di adottare pratiche di sicurezza più robuste e avanzate.