Volgens een recent rapport van The Wall Street Journal zou een Chinese hackgroep, geïdentificeerd als Salt Typhoon, meerdere Amerikaanse breedbandproviders hebben gehackt, waaronder AT&T en Verizon. De inbreuk, die vermoedelijk enkele maanden geleden heeft plaatsgevonden, was gericht op gevoelige netwerkinfrastructuur die door de Amerikaanse federale overheid wordt gebruikt voor legale afluisteractiviteiten.
Het voornaamste motief van de hackaanval lijkt het verzamelen van inlichtingen te zijn.
De cyberaanval zou zich naar verluidt hebben gericht op systemen die worden gebruikt voor legale Amerikaanse surveillanceoperaties, waarbij hackers mogelijk toegang krijgen tot gevoelige communicatiekanalen. De Wall Street Journal merkte op dat Salt Typhoon door deze inbraken internetverkeersgegevens van verschillende gebruikers, waaronder individuen en bedrijven, had kunnen verzamelen. De exacte datum van de inbreuk blijft onduidelijk, maar sommige bronnen suggereren dat de groep mogelijk enkele maanden of langer toegang tot deze netwerken heeft behouden.
AT&T en Verizon zijn naar verluidt gehackt
Amerikaanse overheidsinstanties en cyberbeveiligingsexperts onderzoeken actief de inbreuk om de impact ervan op de nationale veiligheid te beoordelen. De omvang van de data-exfiltratie wordt nog steeds geëvalueerd. Volgens The Wall Street Journal omvat het onderzoek zowel experts uit de publieke als de private sector die proberen de aard en omvang van de gegevens vast te stellen die bij de aanval zijn aangetast.
Salt Typhoon, ook bekend onder andere namen als Earth Estries, Ghost Emperor en FamousSparrow, heeft een geschiedenis van het aanvallen van overheidsinstanties en telecomaanbieders, vooral in Zuidoost-Azië. De activiteiten van de groep zijn nu uitgebreid naar Amerikaanse bedrijven als AT&T en Verizon, wat aanleiding geeft tot bezorgdheid over de veiligheid van communicatienetwerken die worden gebruikt voor officiële overheidsoperaties.
Salt Typhoon is volgens Microsoft in ieder geval sinds 2019 actief en volgt de bewegingen van de groep op de voet. Andere cyberbeveiligingsbedrijven hebben vergelijkbare patronen geïdentificeerd in aanvallen die verband houden met de groep. Eerder richtte Salt Typhoon zich op instellingen in landen als Brazilië, Canada, Frankrijk en Zuid-Afrika, waarbij gebruik werd gemaakt van geavanceerde tools en methoden om kwetsbaarheden in hun netwerken te misbruiken.
Experts zijn van mening dat Salt Typhoon aanvankelijk toegang krijgt tot doelnetwerken door misbruik te maken van bekende beveiligingsfouten, zoals de kwetsbaarheden in Microsoft Exchange-servers. Bij eerdere operaties heeft de groep aangepaste achterdeuren en hacktools zoals SparrowDoor gebruikt om voet aan de grond te houden in gecompromitteerde systemen.
Cisco’s rol in het AT&T- en Verizon-probleem
Naarmate het onderzoek vordert, is de aandacht verschoven naar de mogelijke rol van Cisco’s netwerkapparatuur bij de inbreuk. Onderzoekers onderzoeken of de hackers kwetsbaarheden in Cisco-routers hebben gebruikt om toegang te krijgen tot gevoelige communicatiekanalen. Een woordvoerder van Cisco verklaarde dat hoewel het bedrijf de situatie onderzoekt, er momenteel geen bewijs is dat zijn apparatuur in verband staat met de aanval.
De inbreuk op AT&T en Verizon heeft verstrekkende gevolgen, aangezien deze bedrijven enorme hoeveelheden gegevens verwerken voor klanten uit zowel de overheid als de particuliere sector. Het incident benadrukt de groeiende dreiging van cyberspionage door door de staat gesponsorde actoren, met name degenen die zich richten op kritieke infrastructuur in de Verenigde Staten.
