# Salt Typhoon - Comprometimento Telecom EUA (2024) > [!critical] Pior Violação de Contrainteligência da História dos EUA - 9 Telecoms Comprometidas > Entre 2023 e 2024, o [[g1045-salt-typhoon|Salt Typhoon]] (MSS China) comprometeu 9 operadoras de telecomúnicações dos EUA - incluindo AT&T, Verizon, T-Mobile, Lumen e Spectrum - acessando sistemas de wiretap legais (CALEA), ligações de campanhas presidenciais e dados de alvos de contrainteligência em 80+ países. ## Visão Geral A campanha Salt Typhoon nas telecomúnicações dos EUA é classificada por analistas como a **pior violação de contrainteligência da história americana** - superando até o hack do Office of Personnel Management (OPM) de 2015. O [[g1045-salt-typhoon|Salt Typhoon]], operado pelo Ministério de Segurança do Estado (MSS) da China, manteve acesso não detectado às redes das maiores operadoras de telecomúnicações dos EUA por **um a dois anos** antes da descoberta em setembro de 2024. O impacto estratégico foi extraordinário: os atacantes não apenas coletaram metadados de comúnicações em massa, mas acessaram específicamente os **sistemas CALEA** (Commúnications Assistance for Law Enforcement Act) - a infraestrutura construída pelas telecoms para facilitar wiretaps legais autorizados por tribunais. Isso deu ao MSS chinês acesso direto a quais alvos estavam sendo monitorados pelo FBI e agências de inteligência dos EUA, equivalente a acesso à lista de fontes e métodos de inteligência americana. Alvos de alto valor incluíram membros das campanhas presidenciais de Kamala Harris e Donald Trump, com acesso a ligações de Trump e JD Vance confirmado. O Departamento do Tesouro dos EUA sancionou a Sichuan Juxinhe Network Technology Co. Ltd. por envolvimento direto na operação em janeiro de 2025. ## Empresas Comprometidas | Empresa | Status | |---------|--------| | AT&T | Comprometida - evicção confirmada dez 2024 | | Verizon | Comprometida - evicção confirmada jan 2025 | | T-Mobile | Comprometida - contida antes de danos graves | | Lumen Technologies | Comprometida | | Charter Commúnications | Comprometida | | Consolidated Commúnications | Comprometida | | Windstream Commúnications | Comprometida | | Spectrum | Comprometida | | + 1 operadora não identificada | Comprometida | ## Attack Flow ```mermaid graph TB A["🔓 Exploração inicial<br/>N-days em firewalls<br/>VPNs + Exchange servers"] --> B["📡 Comprometimento de roteadores<br/>CVE-2018-0171 Cisco<br/>+ credenciais comprometidas"] B --> C["🌐 100k+ roteadores<br/>Rede de roteadores AT&T<br/>como plataforma de pivoting"] C --> D["🔑 Acesso a sistemas CALEA<br/>Wiretap systems<br/>acesso a lawful intercepts"] D --> E["📞 Coleta de inteligência<br/>Ligações DC area<br/>campanhas presidenciais"] E --> F["🧹 Evasão persistente<br/>Apagamento de logs<br/>1-2 anos sem detecção"] ``` ## TTPs Mapeados | Técnica | ID | Descrição | |---------|----|-----------| | Exploit Public-Facing | [[t1190-exploit-public-facing-application\|T1190]] | Exploração de firewalls Fortinet, VPNs, Exchange | | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Credenciais de conta de rede sem MFA | | Roteadores comprometidos | [[t1584-compromise-infrastructure\|T1584]] | 100k+ roteadores AT&T como plataforma | | Indicator Removal | [[t1070-indicator-removal\|T1070]] | Apagamento sistemático de logs - "very careful" | | Adversary-in-the-Middle | [[t1557-adversary-in-the-middle\|T1557]] | Interceptação de comúnicações via CALEA | ## Contexto Estratégico ```mermaid pie title Impacto por Categoria de Dados "Metadados de comúnicações" : 40 "Dados de wiretap CALEA" : 25 "Comúnicações de alvos políticos" : 20 "Dados de fontes/métodos intel" : 15 ``` A campanha é única em focar primariamente em **contrainteligência** - identificar quais cidadãos chineses estão sendo monitorados por agências americanas - em vez de espionagem tecnológica ou econômica tradicional. O acesso aos sistemas CALEA representou uma "chave mestre" da vigilância americana. Salt Typhoon explorou uma ironia fundamental: os backdoors de acesso legal (CALEA) construídos para facilitar wiretaps autorizados por tribunais tornaram-se o vetor de comprometimento mais crítico. ## Resposta e Consequências - **Janeiro 2025**: Tesouro EUA sanciona Sichuan Juxinhe Network Technology - **Março 2025**: House Committee on Homeland Security solicita documentos DHS - **Dezembro 2024**: AT&T e Verizon confirmam evicção - **Fevereiro 2026**: Senadora Cantwell acusa AT&T e Verizon de bloquear relatórios Mandiant ao Congresso - CISA emitiu guia de hunting para operadoras identificarem comprometimento ## Detecção e Defesa **Mitigações recomendadas pela CISA:** - Aplicar patches em todos os dispositivos perimetrais (firewalls, VPNs, roteadores) - Implementar MFA em todas as contas de gestão de rede - Monitorar modificações de configuração de roteadores (especialmente Cisco) - Segmentar sistemas CALEA e lawful intercept de redes corporativas gerais - Logging centralizado com retenção mínima de 12 meses ## Referências - [1](https://en.wikipedia.org/wiki/Salt_Typhoon) Wikipedia - Salt Typhoon (2024-2026) - [2](https://en.wikipedia.org/wiki/2024_global_telecommunications_hack) Wikipedia - 2024 Global Telecommúnications Hack - [3](https://www.hackthebox.com/blog/salt-typhoon-apt-us-telecom-espionage-attack-analysis) Hack The Box - Inside Salt Typhoon: How Chinese APTs Breached US Telecoms (2026) - [4](https://www.cybersecuritydive.com/news/att-verizon-salt-typhoon/736680/) CyberSecurity Dive - AT&T, Verizon Say They Evicted Salt Typhoon (2025) - [5](https://www.nextgov.com/cybersecurity/2026/02/senator-says-t-and-verizon-blocked-release-salt-typhoon-security-reports/411172/) NextGov - Senator Says AT&T and Verizon Blocked Salt Typhoon Reports (2026)