A fine settembre, il Wall Street Journal ha pubblicato un articolo sulle attività di cyberspionaggio effettuate dal gruppo Salt Typhoon legato all’intelligence cinese. Il quotidiano ha ora fornito ulteriori dettagli sulle tecniche utilizzate dai cybercriminali per accedere alle conversazioni di migliaia di cittadini statunitensi.
Accesso alle infrastrutture di rete da 8 mesi
In base alle informazioni ottenute dal WSJ, gli obiettivi del gruppo Salt Typhoon erano principalmente funzionari delle agenzie governative e politici, ma possono teoricamente accedere ai dati telefonici di ogni cittadino statunitense che usa le reti dei provider compromessi, tra cui AT&T e Verizon.
Secondo le fonti del WSJ, i cybercriminali sono riusciti ad entrare nell’infrastruttura di telecomunicazioni e raccogliere log delle chiamate, messaggi di testo non cifrati e audio da almeno otto mesi, senza essere scoperti. L’intrusione è avvenuta usando varie tecniche, tra cui il furto delle credenziali di Lumen Technologies che hanno permesso di accedere al sistema di gestione dell’infrastruttura dell’azienda e di raccogliere informazioni sulla configurazione dei router.
Sfruttando vulnerabilità ignote al momento dell’attacco hanno ottenuto l’accesso a router di Cisco e altri produttori. Tra i bersagli dei cybercriminali c’erano anche persone impegnate nelle campagne elettorali di Donald Trump e Kamala Harris. Al momento non è noto come verranno utilizzate le informazioni raccolte. Un portavoce dell’ambasciata cinese a Washington ha dichiarato che le aziende di sicurezza e le agenzie statunitensi hanno collaborato per mettere insieme prove false.
Il gruppo Salt Typhoon avrebbe inoltre colpito provider di altri paesi che condividono informazioni di intelligence con gli Stati Uniti e i sistemi di intercettazione autorizzati dai tribunali statunitensi. Ciò significa che Pechino potrebbe conoscere le indagini in corso degli Stati Uniti su spie cinesi e altri soggetti.