Un gruppo di hacker cinesi, noto come Salt Typhoon, ha violato i provider di banda larga per accedere ai sistemi di intercettazione del governo USA
Il 7 ottobre 2024, è emerso un nuovo scandalo di hacking che coinvolge due dei principali provider di banda larga statunitensi, AT&T e Verizon. Questi attacchi sono stati attribuiti a un gruppo di hacker cinesi noto come Salt Typhoon, il cui obiettivo sembra essere quello di intercettare sistemi utilizzati dal governo USA per richieste di intercettazione autorizzate dai tribunali.
Il Gruppo di Hacker Salt Typhoon
Salt Typhoon è un gruppo di hacker molto sofisticato attivo almeno dal 2019. La sua attività è stata segnalata in diverse parti del mondo, inclusa l’Asia meridionale, dove ha colpito entità governative e aziende di telecomunicazioni. Questo gruppo è noto per utilizzare vulnerabilità come quelle del ProxyLogon nei server Microsoft Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, e CVE-2021-27065) per ottenere l’accesso iniziale ai sistemi dei target.
Metodi di Attacco
Gli attacchi di Salt Typhoon sono spesso caratterizzati da una grande complessità. Il gruppo utilizza una varietà di strumenti, tra cui un backdoor personalizzato chiamato SparrowDoor, versioni personalizzate del tool Mimikatz per estrarre dati di autenticazione e un rootkit kernel-mode Demodex. Gli investigatori stanno ancora cercando di determinare il metodo di accesso iniziale per l’attacco recente, ma si stanno esplorando diverse piste, tra cui l’accesso a router Cisco responsabili della gestione del traffico internet.
Impatto dell’Attacco
L’attacco di Salt Typhoon sembra essere stato scoperto di recente e sta ancora essere investigato dal governo USA e dagli esperti di sicurezza privati. Non è chiaro quando sia avvenuto l’intrusione, ma si ritiene che i hacker potrebbero aver avuto accesso ai sistemi di rete per mesi o più a lungo. L’impatto dell’attacco, in termini di quantità e tipo di dati osservati e trasmessi, è ancora in fase di valutazione da parte delle persone informate sull’intrusione.
Risposte dei Provider
AT&T e Verizon hanno rifiutato di commentare il rapporto del Wall Street Journal. Nonostante ciò, si sta lavorando per determinare l’entità e la gravità dei dati compromessi. Gli esperti di sicurezza stanno esaminando i sistemi dei provider per capire l’estensione dell’attacco e per prevenire future intrusioni.
Consigli per la Sicurezza
Per prevenire attacchi simili, è fondamentale implementare misure di sicurezza robuste:
- Monitorare i sistemi: Utilizzare strumenti di monitoraggio avanzati per rilevare eventuali intrusioni.
- Aggiornare i software: Assicurarsi che tutti i software siano aggiornati con le patch di sicurezza più recenti.
- Utilizzare autenticazione multi-fattore: Implementare l’autenticazione multi-fattore per rendere più difficile l’accesso non autorizzato.
- Educazione degli utenti: Insegnare agli utenti a riconoscere e evitare attacchi di phishing.
- Testare la sicurezza: Eseguire regolarmente test di sicurezza per identificare vulnerabilità e migliorare la protezione.
L’attacco di Salt Typhoon a AT&T e Verizon rappresenta un pericolo significativo per la sicurezza dei dati e delle infrastrutture critiche. È essenziale che i provider di servizi di telecomunicazione implementino misure di sicurezza avanzate e collaborino con gli esperti di sicurezza per prevenire future intrusioni. Gli utenti devono essere consapevoli delle minacce di sicurezza e prendere le misure necessarie per proteggere i propri dati.
