T-Mobile, Çinli tehdit aktörleri tarafından özel iletişim, arama kayıtları ve kolluk kuvvetlerinin bilgi taleplerine erişim sağlamak amacıyla gerçekleştirilen ve son zamanlarda bildirilen telekom saldırıları dalgasında hedef alındığını doğruladı.

Wall Street Journal’a konuşan T-Mobile, “T-Mobile, bu sektör genelindeki saldırıyı yakından izliyor ve şu anda T-Mobile sistemlerinin ve verilerinin önemli bir şekilde etkilenmediğini ve müşteri bilgilerinin etkilenmesine dair herhangi bir kanıtımız olmadığını söyleyebiliriz” dedi.

T-Mobile, BleepingComputer’a yaptığı benzer bir açıklamada, herhangi bir müşteri verisinin erişildiğine veya dışarı sızdırıldığına dair bir kanıt bulunmadığını belirtti.

“Yaptığımız güvenlik kontrolleri, ağ yapımız ve titiz izleme-yanıt süreçlerimiz sayesinde T-Mobile sistemleri veya verilerinin önemli bir şekilde etkilenmediğini gördük. Müşteri veya diğer hassas bilgilerin erişildiğine ya da sızdırıldığına dair bir kanıt bulunmamaktadır,” dedi.

Geçtiğimiz ay, Wall Street Journal, Salt Typhoon olarak bilinen Çin devlet destekli tehdit aktörlerinin AT&T, Verizon ve Lumen gibi birçok ABD telekomünikasyon şirketini ihlal ettiğini bildirdi.

Salt Typhoon (diğer adlarıyla Earth Estries, FamousSparrow, Ghost Emperor ve UNC2286), en az 2019’dan beri aktif olan, hükümet kurumları ve Güneydoğu Asya’daki telekomünikasyon şirketlerine yönelik saldırılar düzenleyen gelişmiş bir Çin devlet destekli hacker grubudur.

WSJ, bu hackleme kampanyasının tehdit aktörlerine ABD hükümetindeki kıdemli ulusal güvenlik ve politika yetkililerinin cep telefonu hatlarını hedef alarak çağrı günlüklerini, metin mesajlarını ve bazı ses kayıtlarını çalma imkanı sağladığını bildirdi.  

FBI ve CISA tarafından bu hafta yapılan ortak açıklamada, tehdit aktörlerinin hedef kişilerin çağrı verilerini, iletişimlerini ve telekomünikasyon şirketlerine mahkeme emirleri kapsamında yapılan kolluk kuvvetleri taleplerine dair bilgileri çaldığı doğrulandı.

“Özellikle, PRC (Çin Halk Cumhuriyeti) bağlantılı aktörlerin, müşteri çağrı kayıtlarının çalınmasını, ağırlıklı olarak hükümet veya siyasi faaliyetlerle ilgilenen sınırlı sayıda bireyin özel iletişimlerinin ihlal edilmesini ve ABD kolluk kuvvetleri taleplerine ilişkin bazı bilgilerin kopyalanmasını sağlamak amacıyla birçok telekomünikasyon şirketinin ağlarını ihlal ettiği tespit edilmiştir,” denildi.

Bu saldırıların internet trafiğini yönlendiren Cisco yönlendiricilerindeki güvenlik açıkları üzerinden gerçekleştirildiği bildirildi. Ancak Cisco, ekipmanlarının bu saldırılar sırasında ihlal edildiğine dair herhangi bir belirti olmadığını daha önce açıklamıştı.

Bu ihlal, T-Mobile’ın 2019’dan bu yana yaşadığı dokuzuncu saldırı oldu. Diğer olaylar şunlardır:

• 2019’da T-Mobile, bilinmeyen sayıda ön ödemeli müşterinin hesap bilgilerini ifşa etti.
• Mart 2020’de T-Mobile çalışanlarının kişisel ve finansal bilgilerini içeren bir veri ihlali yaşandı.
• Aralık 2020’de tehdit aktörleri müşteri özel ağ bilgilerine (telefon numaraları, arama kayıtları) erişti.
• Şubat 2021’de bilinmeyen saldırganlar, T-Mobile’ın dahili bir uygulamasına yetkisiz erişim sağladı.
• Ağustos 2021’de saldırganlar, bir T-Mobile test ortamını ihlal ettikten sonra operatörün ağına brute-force yöntemiyle sızdı.
• Nisan 2022’de Lapsus$ fidye çetesi, çalınan kimlik bilgilerini kullanarak T-Mobile ağına sızdı.
• Ocak 2023’te T-Mobile, Kasım 2022’de bir API açığından yararlanılarak 37 milyon müşterinin kişisel bilgilerinin çalındığını doğruladı.
• Mayıs 2023’te T-Mobile, yalnızca 836 müşteriyi etkileyen ancak hassas bilgileri ifşa eden bir ihlal açıkladı.