Senatorowie przywołali także w swoim piśmie dowody na to, że US Telecom współpracował z zewnętrznymi firmami zajmującymi się cyberbezpieczeństwem w celu audytu swoich systemów związanych z protokołem telekomunikacyjnym znanym jako SS7, ale wyniki tych ocen nie zostaną przekazane Departamentowi Obrony dostarczać. „DOD zwrócił się do przewoźników o kopie wyników niezależnych audytów i został poinformowany, że są one uważane za informacje poufne dla prawnika i klienta” – napisał departament w odpowiedzi na pytania z biura Wydena.
Pentagon zawiera umowy z głównymi amerykańskimi operatorami na większość swojej infrastruktury telekomunikacyjnej, co oznacza, że dziedziczy wszelkie potencjalne luki w zabezpieczeniach ich korporacji, ale także dziedziczy luki w sercu ich sieci telefonicznych.
AT&T i Verizon nie odpowiedziały na liczne prośby o komentarz od WIRED. Według doniesień, włamania do sieci T-Mobile doszło także w kampanii Salt Typhoon, ale firma twierdzi, że wpis na blogu W zeszłym tygodniu nie było żadnych oznak porozumienia. T-Mobile ma kontrakty z armią, siłami powietrznymi, dowództwem operacji specjalnych i kilkoma innymi oddziałami Departamentu Obrony. A w czerwcu to ogłoszony 10-letni kontrakt o wartości 2,67 miliarda dolarów z Marynarką Wojenną, który „da wszystkim agencjom Departamentu Obrony możliwość zamawiania usług i sprzętu bezprzewodowego od T-Mobile przez następne 10 lat”.
W wywiadzie dla WIRED dyrektor ds. bezpieczeństwa T-Mobile Jeff Simon powiedział, że firma podjęła ostatnio próbę powstrzymania ataków hakerskich pochodzących z infrastruktury routingowej za pośrednictwem anonimowego partnera w zakresie usług przewodowych, co wymagało naruszenia bezpieczeństwa. T-Mobile nie jest pewien, czy „złym aktorem” był Salt Typhoon, ale Simon twierdzi, że kimkolwiek był, firma natychmiast zaprzestała prób włamań.
„Dzięki naszej infrastrukturze routingu brzegowego nie można uzyskać dostępu do wszystkich naszych systemów – są one w pewnym stopniu tam zawarte, a następnie trzeba próbować przejść między tym środowiskiem a innym, aby uzyskać większy dostęp” – mówi Simon. „Wymaga to od nich wykonywania dość hałaśliwych czynności i właśnie tam udało nam się je wykryć. Dużo zainwestowaliśmy w nasze możliwości monitorowania. Nie dlatego, że są idealne, nigdy nie będą idealne, ale gdy ktoś w naszym otoczeniu hałasuje, lubimy myśleć, że go złapiemy.
W obliczu chaosu związanego z Salt Typhoon godne uwagi jest twierdzenie T-Mobile, że nie stwierdził w tej sprawie żadnych naruszeń. Simon twierdzi, że w miarę rozwoju sytuacji firma nadal współpracuje z organami ścigania i szerzej rozumianą branżą telekomunikacyjną. Ale to nie przypadek, że T-Mobile tak dużo zainwestował w cyberbezpieczeństwo. W ciągu ostatniej dekady firma doświadczyła powtarzających się, powszechnych naruszeń bezpieczeństwa, w wyniku których ujawniono ogromne ilości danych klientów. Simon twierdzi, że od czasu dołączenia do firmy w maju 2023 r. nastąpiła znacząca zmiana w zakresie bezpieczeństwa. Przykładowo firma wdrożyła obowiązkowe uwierzytelnianie dwuskładnikowe za pomocą fizycznego klucza bezpieczeństwa dla każdego, kto wchodzi w interakcję z systemami T-Mobile, w tym dla wszystkich kontrahentów innych niż pracownicy. Mówi, że dzięki takim środkom ryzyko zagrożeń takich jak phishing zostało w dużym stopniu ograniczone. Inne ulepszenia w zarządzaniu populacją urządzeń i wykrywaniu sieci pomogły firmie zyskać pewność, że jest w stanie się chronić.
„W dniu, w którym dokonaliśmy zmiany, odcięliśmy dostęp wielu osobom, ponieważ nie otrzymały jeszcze swoich YubiKeys. Przed drzwiami naszej siedziby była kolejka” – mówi Simon. „Każda forma życia uzyskująca dostęp do systemu T-Mobile musi otrzymać od nas Yubikey”.
Niemniej jednak faktem pozostaje, że amerykańska infrastruktura telekomunikacyjna ma zasadnicze słabości. Mimo że T-Mobile skutecznie udaremnił ostatnie próby włamań Salt Typhoon, kampania szpiegowska stanowi dramatyczną ilustrację długotrwałego braku bezpieczeństwa w całej branży.
„Nalegamy, aby rozważyć, czy Departament Obrony powinien odmówić przedłużenia tych umów” – napisali senatorowie – „zamiast tego renegocjować z zakontraktowanymi operatorami bezprzewodowymi, aby chronić ich przed zagrożeniami związanymi z inwigilacją”.
Dodatkowe raporty Dale’a Camerona.
