Senatorowie przedstawiają również w swoim piśmie dowody na to, że amerykańscy operatorzy telekomunikacyjni współpracowali z zewnętrznymi firmami zajmującymi się cyberbezpieczeństwem w celu przeprowadzenia audytów ich systemów związanych z protokołem telekomunikacyjnym znanym jako SS7, ale odmówili udostępnienia wyników tych ocen Departamentowi Obrony. „Departament Departamentu zwrócił się do przewoźników o kopie wyników niezależnych audytów i został poinformowany, że stanowią one informacje poufne dla prawnika” – napisał departament w odpowiedzi na pytania z biura Wydena.
Pentagon zawiera umowy z głównymi amerykańskimi operatorami na znaczną część swojej infrastruktury telekomunikacyjnej, co oznacza, że dziedziczy wszelkie potencjalne słabości bezpieczeństwa korporacyjnego, jakie mogą posiadać, ale także dotychczasowe luki w zabezpieczeniach ich sieci telefonicznych.
AT&T i Verizon nie odpowiedziały na wielokrotne prośby o komentarz od WIRED. Według doniesień włamania do sieci T-Mobile doszło także w kampanii Salt Typhoon, ale firma stwierdziła w: wpis na blogu w zeszłym tygodniu stwierdziła, że nie widzi żadnych oznak kompromisu. T-Mobile ma kontrakty z armią, siłami powietrznymi, dowództwem operacji specjalnych i wieloma innymi oddziałami Departamentu Obrony. A w czerwcu to ogłoszony 10-letni kontrakt z Marynarką Wojenną o wartości 2,67 miliarda dolarów, który „da wszystkim agencjom Departamentu Obrony możliwość składania zamówień na usługi i sprzęt bezprzewodowy od T-Mobile przez następne 10 lat”.
W wywiadzie dla WIRED dyrektor ds. bezpieczeństwa T-Mobile Jeff Simon powiedział, że firma wykryła niedawno próby włamań do infrastruktury routingu za pośrednictwem anonimowego partnera w zakresie usług przewodowych, który padł ofiarą ataku hakerskiego. T-Mobile nie jest pewien, czy „złym aktorem” był Salt Typhoon, ale Simon twierdzi, że kimkolwiek był, firma szybko udaremniła próby włamań.
„Z naszej infrastruktury routingu brzegowego nie można uzyskać dostępu do wszystkich naszych systemów — są one tam w pewnym stopniu zamknięte i trzeba próbować przemieszczać się między tym środowiskiem a innym, aby uzyskać większy dostęp” – mówi Simon. „To wymaga od nich wykonywania dość hałaśliwych czynności i właśnie tam udało nam się je wykryć. Dużo zainwestowaliśmy w nasze możliwości monitorowania. Nie chodzi o to, że są idealne, bo nigdy nie będą, ale kiedy w naszym otoczeniu ktoś robi hałas, lubimy myśleć, że go złapiemy”.
W obliczu chaosu związanego z Salt Typhoon na uwagę zasługuje zapewnienie T-Mobile, że w tym przypadku nie doszło do naruszenia. Simon twierdzi, że w miarę rozwoju sytuacji firma nadal współpracuje z organami ścigania i szerzej rozumianą branżą telekomunikacyjną. Ale to nie przypadek, że T-Mobile tak szeroko zainwestował w cyberbezpieczeństwo. Przez dekadę firma doświadczała powtarzających się, rozległych naruszeń, w wyniku których ujawniono ogromną ilość danych klientów. Simon twierdzi, że odkąd dołączył do firmy w maju 2023 roku, przeszła ona znaczącą transformację bezpieczeństwa. Przykładowo firma wdrożyła obowiązkowe uwierzytelnianie dwuskładnikowe za pomocą fizycznych kluczy bezpieczeństwa dla wszystkich osób wchodzących w interakcję z systemami T-Mobile, w tym wszystkich kontrahentów oprócz pracowników. Jego zdaniem takie środki drastycznie zmniejszyły ryzyko zagrożeń takich jak phishing. Inne udoskonalenia w zarządzaniu populacją urządzeń i wykrywaniu sieci pomogły firmie zyskać pewność, że jest w stanie się bronić.
„W dniu, w którym dokonaliśmy przejścia, odcięliśmy dostęp wielu osobom, ponieważ nie dostały jeszcze swoich kluczy YubiKey. Przed drzwiami naszej siedziby była kolejka” – mówi Simon. „Każda forma życia uzyskująca dostęp do systemów T-Mobile musi uzyskać od nas klucz YubiKey”.
Faktem pozostaje jednak, że amerykańska infrastruktura telekomunikacyjna ma fundamentalne luki w zabezpieczeniach. Nawet jeśli T-Mobile skutecznie udaremnił ostatnie próby włamań Salt Typhoon, kampania szpiegowska jest dramatyczną ilustracją długotrwałego braku bezpieczeństwa w branży.
„Nalegamy, aby rozważyć, czy Departament Obrony nie powinien odmówić przedłużenia tych umów” – napisali senatorowie – „i zamiast tego renegocjować z operatorami sieci bezprzewodowych, z którymi zakontraktowano usługi bezprzewodowe, wymagać od nich przyjęcia znaczących zabezpieczeń cybernetycznych przed zagrożeniami związanymi z inwigilacją”.
Dodatkowe raporty firmy Dell Cameron.
