Cybersecurity Dive поговорил с директором по безопасности Джеффом Саймоном о том, как оператор, по его словам, предотвратил атаку группы угроз, похожей на Salt Typhoon, несмотря на прошлые сбои в системе безопасности.

T-Mobile не смутился, поскольку телекоммуникационный сектор оправился от кампании атак

Вывеска для T-Mobile висит на витрине магазина 24 августа 2023 года в Вашингтоне, округ Колумбия. Оператор беспроводной сети заявил, что предотвратил проникновение группы угроз в его сеть в ноябре 2024 года. Анна Манимейкер/Getty Images через Getty Images

T-Mobile имеет печально известную плохую репутацию в области кибербезопасности из-за повторяющихся ошибок в безопасности. Оператор беспроводной сети публично признал восемь утечек данных в период с 2018 по начало 2023 года.

Одна из этих атак, масштабная утечка данных в 2021 году, которая раскрыла персональные данные более 76 миллионов человек и привела к коллективному иску на сумму 500 миллионов долларов, была широко расценена как крупнейшая за всю историю утечка данных оператора.

Этот рекорд был оспорен в конце весны и начале лета, когда группа угроз Salt Typhoon, спонсируемая правительством Китая, проникла по меньшей мере в восемь американских телекоммуникационных компаний. Раскрытие информации о кампании, которое стало известно на этой неделе, привело к краже большого количества записей, включая метаданные и некоторые частные сообщения, в рамках широкомасштабной и продолжающейся шпионской кампании.

T-Mobile заявила, что успешно остановила атакующего, который поразительно похож на известную тактику Salt Typhoon, от маневрирования вглубь своей сети, предотвратив кражу конфиденциальных данных клиентов. В разговоре с Cybersecurity Dive во вторник руководитель службы безопасности T-Mobile Джефф Саймон приписал сдерживание, среди прочего, усилиям оператора сети по обновлению своей внутренней кибербезопасности.

Саймон говорил с Cybersecurity Dive, когда появились подробности о широком и беспрецедентном ущербе, нанесенном глобальной кампанией Salt Typhoon.

Примечание редактора: это интервью было отредактировано для ясности и краткости.

КИБЕРБЕЗОПАСНОСТЬ DIVE: Можете ли вы рассказать мне, что здесь произошло? В вашем запись в блоге на прошлой неделе вы сказали, что злоумышленник пытался использовать свою компрометацию сети провайдера проводной связи для доступа к системам T-Mobile. Это позволило злоумышленнику получить доступ к некоторым маршрутизаторам T-Mobile или это были два отдельных вектора доступа?

ДЖЕФФ САЙМОН:Позвольте мне начать немного дальше назад во времени, просто чтобы вы получили полную временную шкалу. Мы, очевидно, отслеживали Salt Typhoon в течение некоторого времени, на самом деле с лета этого года мы начали получать разведданные. Это был один из главных субъектов угрозы на нашем радаре. Мы начали охотиться за тактикой, методами и процедурами, которые они, как известно, используют в нашей инфраструктуре.

И, честно говоря, мы ничего не увидели. Было почти удивительно, как мало мы смогли найти Salt Typhoon в инфраструктуре T-Mobile. Мы вообще не увидели никаких свидетельств их присутствия.

Затем совсем недавно, просто продолжая наши обычные процессы мониторинга по всей нашей инфраструктуре, мы обнаружили подозрительную активность на некоторых из наших маршрутизаторов, на которые вы ссылаетесь. Эта подозрительная активность, по сей день, мы не знаем, кто за ней стоял, был ли это Salt Typhoon или другой субъект, но в поведении, которое мы видели, определенно были некоторые указания. … У нас нет никаких конкретных разведданных от наших партнеров из правительства или частного сектора, которые бы определенно говорили, что это Salt Typhoon.

Мы обнаружили эту активность и смогли сделать это довольно быстро с того момента, как они начали эту активность. Это было однозначное число дней от того, как они были активны, пытались прозондировать нашу инфраструктуру и выполняли действия типа обнаружения, до того, как мы идентифицировали их и смогли закрыть дверь.

Мы смогли довольно быстро отследить это обратно до того другого поставщика телекоммуникационных услуг, поставщика проводной связи, который был источником трафика в нашей сети, который по сути был нацелен на нашу инфраструктуру маршрутизации периферии.

С маршрутизаторами T-Mobile, к которым был получен доступ, это звучало как большее открытие — злоумышленник пытался узнать больше о сети и, возможно, перепрыгнуть оттуда. Так ли они получили доступ к маршрутизаторам T-Mobile, через сетевой доступ этого проводного провайдера к T-Mobile?

В основном, да, это ответ на ваш вопрос. Я просто могу сформулировать это немного по-другому. Другой провайдер не обязательно имеет доступ к T-Mobile. Я бы скорее думал об этом как о пиринговых отношениях между двумя операторами связи, где мы используем их транзитную сеть для транспортировки. Вот такие отношения.

Дело не в том, что у провайдера проводной связи был специальный предоставленный доступ в нашу среду. Когда вы говорите «доступ», это звучит так, будто в той другой телекоммуникационной компании есть другие пользователи, которые, как мы ожидаем, будут входить в наши системы. Это не так. Это была настройка типа связи. Мы используем их для транзитной связи.

Можете ли вы объяснить, как они получили доступ к маршрутизаторам T-Mobile? Они использовали уязвимость в маршрутизаторах T-Mobile? Я все еще немного застрял на этой части.

Если бы я был вами, я бы задал тот же вопрос. Я сделаю все возможное, чтобы дать вам надежный ответ, но, пожалуйста, также поймите, что их поведение здесь было особенно уникальным и произошло это довольно недавно. Мы считаем, что это ценная часть разведданных, которой мы поделились с нашим правительством и партнерами по телекоммуникациям. Мы не хотим, чтобы они знали, что мы знаем некоторые из их поведения и тактики.

Мы понимаем, что для других поставщиков телекоммуникационных услуг, вероятно, злоумышленник находится в их среде уже некоторое время, возможно, годы. У меня нет информации об этом из первых рук. Это только наше понимание из сообщений и брифингов публичных СМИ.

В таких случаях очень, очень сложно обнаружить, как злоумышленник получил первоначальный доступ, поэтому вы можете быть уверены, что вы выселили их или нет, потому что они как бы внедрились в течение этого длительного периода времени, прежде чем их обнаружили.

У нас есть уникальный случай, когда мы смогли быстро их обнаружить и найти их точку доступа, и как они смогли сделать некоторые уникальные вещи, о которых, возможно, большинство компаний не думают. Мы считаем, что это ценная информация, поэтому я не хочу делиться слишком большими подробностями.

Но я могу вам сказать, что в случае с T-Mobile не было эксплойта уязвимости. Нет номера CVE, который был бы использован для получения этого доступа. Я бы сказал, что они воспользовались тем, как работает типичная коммуникация через сети. И мне жаль, что это немного уклончиво.

Я понимаю это и понимаю необходимость не выдавать слишком много. Можете ли вы сказать, сколько маршрутизаторов в конечном итоге были скомпрометированы, и заменили ли вы эти маршрутизаторы? Каков был ваш процесс, чтобы убедиться, что все очищено?

Они попытались получить доступ к очень небольшой части нашей среды маршрутизаторов, определенно менее 1% нашей инфраструктуры, просто чтобы дать вам немного размера и масштаба. Это связано с несколькими факторами — природа нашей сети такова, что это не одна большая плоская сеть, она многоуровневая.

Вам нужно будет перейти от нашей инфраструктуры пограничной маршрутизации, которая будет открыта для других телекоммуникаций, к другим внутренним сетям, чтобы иметь возможность получить доступ к большей части нашей среды. И, честно говоря, именно там мы видим, как они проводят обнаружение. Мы предполагаем, что они пытаются найти способы пройти через наши уровни защиты, когда они проводят обнаружение, и мы поймали их.

Нет, мы не заменили [маршрутизаторы] и не видим в этом необходимости, и наши партнеры по криминалистике не видят в этом необходимости.

Все это произошло совсем недавно, как вы упомянули в сообщении в блоге, буквально в течение последних нескольких недель. Я как бы уловил ваше первоначальное утверждение — не то чтобы вы чувствовали себя обделенными, но, возможно, немного обеспокоены тем, что не видели этой активности в своей сети до этого момента.

У вас есть что-то еще, чем можно поделиться по этому поводу? Это действительно кажется немного странным. Эта группа, и я знаю, что вы не можете точно подтвердить, что это были они, но они, похоже, нацелились на каждого сетевого провайдера в стране и в других местах.

Я не могу говорить, что они нацелились абсолютно на каждого другого телекоммуникационного оператора, но, безусловно, публично сообщалось, что они нацелились на ряд. Я думаю, лучший способ ответить на ваш вопрос — это то, почему мы чувствуем, что мы можем отличаться. Я, конечно, не знаю наверняка.

Многое неизвестно об этом субъекте и о том, как он действует.

Если вы подумаете о нашей сети, то она очень, очень отличается от большинства других источников телекоммуникаций, особенно тех, которые, как сообщается, пострадали от соляного тайфуна. Есть несколько больших отличий.

Во-первых, наша сеть находится только в Соединенных Штатах. Мы не владеем и не управляем сетями за пределами Соединенных Штатов. Другие компании, о которых сообщалось, что они пострадали, это делают. Так что это делает среду намного проще в управлении. У нее гораздо меньше точек воздействия, особенно если учесть, что она находится в других странах, где может быть сложнее управлять безопасностью.

Мы не управляем проводной сетью, в отличие от некоторых наших конкурентов, которые были названы пострадавшими в этом событии, которые управляют очень большими и надежными проводными сетями.

Мы эксплуатируем беспроводную сеть 5G в Соединенных Штатах, и эта беспроводная сеть 5G является автономной сетью 5G, то есть по сути является новейшей технологией в области беспроводной связи. … С другими поставщиками телекоммуникационных услуг вы работаете в сети 4G. Даже когда говорится, что вы на 5G, трафик плоскости управления для вашего телефона находится на 4G. У них нет ядра 5G.

Ваша инфраструктура 4G, очевидно, будет старше, а наша инфраструктура 5G намного новее. Так что если сложить все это, то наша сеть сильно отличается, и вполне вероятно, что эти вещи помогают нам противостоять кибератакам в целом: меньший след, более простое управление и гораздо более современный.

Федеральные чиновники предупреждали об этой угрозе около года, в частности, называя телекоммуникации целью связанных с Китаем злоумышленников, которые вторгаются в сети. Ранее они говорили о том, что они фактически затаились в ожидании потенциальных последующих атак в будущем. Чиновники из ФБР и CISA провели пресс-конференцию сегодня утром и заявили, что они все еще не могут с уверенностью сказать о масштабах воздействия этой кампании или о том, была ли группа угроз вытеснена из какой-либо сети, к которой она уже получила доступ.

Я делюсь всем этим, чтобы спросить, что дает вам уверенность в том, что связанные с Китаем злоумышленники не вторгались в ваши системы? Есть ли вероятность, что вы что-то пропустили или субъект угрозы эффективно скрыл свою деятельность?

Вместе с нашими партнерами из частного и государственного секторов мы охотимся за этим противником с тех пор, как начали видеть те брифинги об угрозах, о которых вы упомянули, и публичные сообщения о них.

Конечно, критическая инфраструктура уже давно является целью кибератак. Это не новая тема для этой отрасли.

Эта конкретная целевая атака Salt Typhoon началась летом, и мы работали с нашими партнерами, чтобы отследить ее в нашей среде. Мы работали с нашими партнерами, чтобы просмотреть их разведданные, чтобы узнать, где они видят данные, исходящие из телекоммуникационных сетей, или другие признаки компрометации телекоммуникационных сетей. И мы просто последовательно не видели активности.

Что дает мне уверенность, так это то, что мы искали так усердно, как только кто-либо мог, искали со всеми партнерами, с которыми мы могли охотиться, и мы все ничего не видим. Теперь, конечно, и совсем недавно, как я уже упоминал, мы увидели некоторую активность, которая может быть связана, но не знаю, может быть, и мы поделились этим.

Мы уверены, что смогли увидеть, что они сделали за то короткое время, пока пытались переместиться и получить доступ к нашей среде. У нас есть очень надежная регистрация событий того периода. Мы прошли через это. Наши партнеры третьей стороны прошли через это.

Это дает нам уверенность в том, что мы знаем, где они были, мы знаем, что они пытались сделать, и мы уверены, что предпринятые нами действия выселили их.

Конечно, с таким искушенным игроком, как этот, все может измениться завтра. Если это действительно спонсируемая китайским правительством киберкампания, то это очень, очень способный противник, у которого есть доступ к таким вещам, как уязвимости нулевого дня, которые мы, возможно, не сможем исправить. Для них нет патча. Так что если это тот противник, и он будет настойчив, то, конечно, то, что мы знаем, может измениться завтра.

Реальность для нашей компании или других может измениться завтра, и если это произойдет, мы будем держать наших заинтересованных лиц в курсе.

Подчеркивая то, о чем вы говорили, с сетевой инфраструктурой T-Mobile, можно сказать, что она действительно является исключением и уникальной в этой области. Тем не менее, послужной список T-Mobile по предотвращению атак невелик. Прошло меньше года с тех пор, как T-Mobile раскрыла последнюю крупную атаку, затронувшую клиентов. И большая часть этой сетевой инфраструктуры уже была на месте тогда.

Можете ли вы рассказать больше о том, в какой степени изменилась компания и смогла ли она помешать такой высоко мотивированной группе угроз на национальном уровне нанести более серьезный ущерб?

Да, и вы абсолютно правы. У T-Mobile в прошлом было несколько проблем с кибербезопасностью. Компания действительно вложила огромные средства и взяла на себя обязательства по улучшению кибербезопасности, возможно, беспрецедентные.

Я приведу вам несколько примеров и то, как это может быть связано с кампанией Salt Typhoon, которую мы видим.

Одной из вещей, которая предположительно является техникой, используемой Salt Typhoon, является кража учетных данных. Многофакторная аутентификация особенно важна для защиты от этой атаки, и, безусловно, в течение многих лет в отрасли было широко известно, что это ключевой элемент управления.

Это элемент управления, которого T-Mobile не имел несколько лет назад. Многофакторная аутентификация не использовалась широко, и сегодня мы в T-Mobile сделали полный разворот на 180 градусов.

Каждый человек, который получает доступ к нашей системе, использует аутентификацию FIDO2, и не только когда они входят в систему извне, но даже изнутри. Мы используем аутентификацию FIDO2 везде, где это технически возможно.

Подавляющее большинство наших сотрудников даже не знают свой пароль, это 128 случайных символов, которые меняются каждую неделю. …

Если посмотреть на публичные сообщения о некоторых вещах, которые делает актер Salt Typhoon, например, о краже учетных данных, то становится понятно, почему кража учетных данных не является эффективным способом атаки на T-Mobile.

T-Mobile уже некоторое время работает над кибербезопасностью. Я не могу утверждать, что я появился 18 месяцев назад, и весь мир изменился. Но, безусловно, за последние несколько лет возможности T-Mobile в области кибербезопасности существенно и основательно изменились.

Я не утверждаю, что мы закончили в любом случае. Осталось еще много работы.

Противники будут становиться все сложнее — я имею в виду, вы видите это в этом случае.

То, что этот актер якобы делает, это одна из самых сложных кампаний, которую, вероятно, видела частная индустрия в Соединенных Штатах. Так что нам придется продолжать повышать нашу игру, мы полны решимости это сделать, и мы сделаем все возможное, чтобы опережать противника каждый день.