Os senadores também fornecem evidências em sua carta de que as telecomunicações dos EUA trabalharam com empresas de cibersegurança de terceiros para realizar auditorias de seus sistemas relacionados ao protocolo de telecomunicações conhecido como SS7, mas se recusaram a disponibilizar os resultados dessas avaliações ao Departamento de Defesa. “O DoD pediu às operadoras cópias dos resultados de suas auditorias de terceiros e foi informado de que são consideradas informações privilegiadas de advogado-cliente”, escreveu o Departamento em resposta a perguntas do escritório de Wyden.
O Pentágono contrata grandes operadoras dos EUA para grande parte de sua infraestrutura de telecomunicações, o que significa que herda quaisquer potenciais fraquezas de segurança corporativa que elas possam ter, mas também as vulnerabilidades legadas no coração de suas redes de telefonia.
A AT&T e a Verizon não responderam a múltiplos pedidos de comentário da WIRED. A T-Mobile também foi supostamente violada na campanha Salt Typhoon, mas a empresa disse em um post de blog na semana passada que não viu sinais de comprometimento. A T-Mobile tem contratos com o Exército, Força Aérea, Comando de Operações Especiais e muitas outras divisões do DoD. E em junho, anunciou um contrato de 10 anos no valor de 2,67 bilhões de dólares com a Marinha que “dará a todas as agências do Departamento de Defesa a capacidade de fazer pedidos de serviços e equipamentos sem fio da T-Mobile pelos próximos 10 anos.”
Em uma entrevista à WIRED, o diretor de segurança da T-Mobile, Jeff Simon, disse que a empresa recentemente detectou tentativas de hacking provenientes de sua infraestrutura de roteamento por meio de um parceiro de linha fixa não nomeado que sofreu uma violação. A T-Mobile não tem certeza se o “ator malicioso” era o Salt Typhoon, mas quem quer que fosse, Simon diz que a empresa rapidamente frustrou as tentativas de intrusão.
“Da nossa infraestrutura de roteamento de borda, você não pode acessar todos os nossos sistemas—eles estão um tanto contidos lá e você precisa tentar se mover entre esse ambiente e outro para obter mais acesso”, diz Simon. “Isso exige que eles façam coisas que são bastante barulhentas e é aí que conseguimos detectá-los. Investimos muito em nossas capacidades de monitoramento. Não que sejam perfeitas, nunca serão, mas quando alguém é barulhento em nosso ambiente, gostamos de pensar que vamos pegá-los.”
No meio do caos do Salt Typhoon, a afirmação da T-Mobile de que não sofreu uma violação neste caso é notável. Simon diz que a empresa ainda está colaborando com a aplicação da lei e a indústria de telecomunicações de forma mais ampla à medida que a situação se desenrola. Mas não é coincidência que a T-Mobile tenha investido tão extensivamente em cibersegurança. A empresa sofreu uma década de violações vastas e repetidas, que expuseram uma imensa quantidade de dados de clientes. Simon diz que desde que se juntou à empresa em maio de 2023, ela passou por uma transformação significativa em segurança. Como um exemplo, a empresa implementou autenticação de dois fatores obrigatória com chaves de segurança físicas para todas as pessoas que interagem com os sistemas da T-Mobile, incluindo todos os contratados além dos funcionários. Essas medidas, diz ele, reduziram drasticamente o risco de ameaças como phishing. E outras melhorias na gestão da população de dispositivos e na detecção de rede ajudaram a empresa a se sentir confiante em sua capacidade de se defender.
“No dia em que fizemos a transição, cortamos o acesso de várias pessoas, porque elas ainda não tinham recebido suas Yubikeys. Havia uma fila na porta da nossa sede”, diz Simon. “Todo ser que acessa os sistemas da T-Mobile tem que obter uma Yubikey de nós.”
Ainda assim, o fato permanece que existem vulnerabilidades fundamentais na infraestrutura de telecomunicações dos EUA. Mesmo que a T-Mobile tenha frustrado com sucesso as últimas tentativas de intrusão do Salt Typhoon, a campanha de espionagem é uma ilustração dramática da insegurança de longa data em toda a indústria.
“Instamos você a considerar se o DoD deve se recusar a renovar esses contratos”, escreveram os senadores, “e em vez disso renegociar com as operadoras sem fio contratadas, para exigir que adotem defesas cibernéticas significativas contra ameaças de vigilância.”