Espionagem · Janeiro 2025

Salt Typhoon: o pior ataque a telecomunicações da história dos EUA

Meses de acesso não detectado às maiores operadoras americanas. O que esse ataque revela sobre o problema de visibilidade.

Equipe ProfitSec · 9 min de leitura · CRN

Em janeiro de 2025, o governo americano confirmou que hackers ligados ao estado chinês — rastreados como Salt Typhoon pela Microsoft e Operator Panda pela CrowdStrike — haviam comprometido as maiores operadoras de telecomunicações dos EUA. O que chocou a comunidade de segurança não foi apenas o escopo do ataque, mas quanto tempo ele passou despercebido.

Quem foi afetado

Verizon, AT&T, Charter Communications, Windstream e Consolidated Communications foram confirmadas como vítimas. Os atacantes tiveram acesso a sistemas de interceptação legal — ironicamente, os mesmos sistemas criados para permitir que o governo monitore comunicações com autorização judicial.

Comunicações de autoridades do governo americano foram comprometidas. O senador Mark Warner descreveu o ataque como "o pior hack de telecomunicações da história dos EUA".

Como eles entraram — e ficaram

O grupo explorou dispositivos de rede não gerenciados — roteadores, switches e outros equipamentos que as organizações frequentemente negligenciam em seus programas de segurança. Esses dispositivos raramente têm EDR instalado, raramente são monitorados com o mesmo rigor que servidores e endpoints, e frequentemente rodam firmware desatualizado.

Uma vez dentro, os atacantes se moveram lateralmente com cuidado, evitando comportamentos que acionariam alertas. Eles operaram dentro dos padrões normais de tráfego, usando credenciais legítimas sempre que possível. O resultado foi meses de acesso não detectado a alguns dos sistemas mais bem defendidos do mundo.

Perspectiva ProfitSec

Durante engajamentos de pentest, frequentemente encontramos que dispositivos de rede — roteadores, firewalls, switches gerenciados — são os pontos cegos do programa de segurança. As equipes focam em aplicações e endpoints, mas esquecem que a infraestrutura de rede também tem superfície de ataque. Credenciais padrão, firmware desatualizado e interfaces de gerenciamento expostas são mais comuns do que deveriam ser.

O problema de visibilidade

Adam Meyers, VP de operações contra adversários da CrowdStrike, resumiu bem: "Esses são alguns dos sistemas mais bem defendidos do mundo — e os atacantes conseguiram operar sem ser detectados. Temos um problema claro de visibilidade técnica que precisamos resolver."

Visibilidade não é apenas ter ferramentas de monitoramento. É saber o que é normal para que você possa identificar o que é anômalo. É ter cobertura em todos os ativos — não apenas nos que você lembra de monitorar.

O que organizações menores podem aprender

Se grupos de espionagem sofisticados conseguem operar por meses dentro das maiores telecoms do mundo, o que isso significa para empresas menores com recursos de segurança mais limitados? Algumas lições práticas:

  • Inclua dispositivos de rede no seu inventário de ativos e programa de patch management
  • Troque credenciais padrão em todos os dispositivos de rede — sem exceção
  • Implemente monitoramento de tráfego de rede para detectar movimentação lateral
  • Realize pentests que incluam a infraestrutura de rede, não apenas as aplicações
  • Estabeleça baselines de comportamento normal para identificar anomalias

Conclusão

O Salt Typhoon não é apenas uma história sobre espionagem estatal. É uma história sobre o que acontece quando organizações têm pontos cegos em seu programa de segurança. Os atacantes sempre vão encontrar o caminho de menor resistência — e frequentemente esse caminho passa pelos ativos que você esqueceu de proteger.