telecom - RunkIntel

# Setor de Telecomúnicações Operadoras de telecomúnicações são alvos estratégicos para espionagem estatal - controlar infraestrutura telecom fornece acesso a comúnicações em escala nacional, metadados de usuários e sistemas de interceptação legal. Em 2025, o setor foi o **terceiro mais afetado por DDoS no Brasil** (170.637 ataques a operadoras móveis em H1/2025, Netscout) e registrou crescimento de **94% em ataques** globalmente no Q1/2025 (Check Point). ## Panorama de Ameaças > [!info] Atualização - Março 2026 > Atores chineses dominam espionagem em telecom LATAM: **Liminal Panda** foca em redes de telecomúnicações da América Central/Sul para coleta de inteligência. **Aquatic Panda** compromete redes telecom e entidades militares no Peru e sistemas governamentais brasileiros. Vulnerabilidades em gateways Sierra Wireless (RV50/RV55) exploradas para bypass de perímetros de rede. O [[g1045-salt-typhoon|Salt Typhoon]] (MSS chinês) definiu o panorama de ameaças ao setor em 2024-2025: comprometeu 9 grandes operadoras americanas e mais de 200 organizações em 80 países, acessando sistemas de interceptação legal (CALEA), metadados de chamadas e comúnicações de autoridades. Em agosto de 2025, [[cisa|CISA]], FBI e 12 países parceiros públicaram advisory conjunto detalhando TTPs do grupo. No Brasil, telecom foi o **4o setor mais afetado por ataques de alto impacto** em 2025, utilizado como ponto de entrada para espionagem e roubo massivo de dados (Cipher x63, dez/2025). O LIMINAL PANDA (nexo chinês) acessou provavelmente provedores de telecom na América Central e do Sul para suporte a coleta de inteligência (CrowdStrike, mar/2026). Kaspersky registrou que **9,86% das organizações de telecom** globalmente foram afetadas por ransomware em 2025, com 20,76% dos usuários do setor enfrentando ameaças on-device. Grupos como [[qilin|Qilin]] e Akira lideram as operações contra operadoras na região. ## Visão Geral > [!info] Em revisão > Esta seção está sendo elaborada com contexto histórico, relevância para o Brasil e LATAM. ## Mapa de Ameaças ```mermaid graph TB TELECOM["Setor de Telecomúnicacoes"] --> SALT["Salt Typhoon MSS Chines"] TELECOM --> VT["Volt Typhoon Pre-posicionamento"] TELECOM --> LIMINAL["LIMINAL PANDA AQUATIC PANDA"] TELECOM --> DDOS["NoName057 DDoS geopolitico"] SALT -->|"CVEs em roteadores Cisco / Ivanti"| T1190["T1190: Exploit App"] SALT -->|"Acesso a sistemas CALEA de wiretap"| T1078["T1078: Valid Accounts"] VT -->|"Living-off-the-land em infra de roteamento"| T1218["T1218: LOLBins"] LIMINAL -->|"Supply chain de software de rede"| T1195["T1195: Supply Chain"] T1190 --> ESP["Espionagem em Escala metadados + chamadas"] T1078 --> ESP T1218 --> PRE["Pre-posicionamento para Disrupcao"] T1195 --> ESP ``` ## Ameaças Primarias | Tipo de Ameaça | Risco | Grupos Ativos | |---------------|-------|--------------| | Comprometimento de sistemas de interceptação legal | 🟥 Crítico | [[g1045-salt-typhoon\|Salt Typhoon]] (MSS) | | Pré-posicionamento em infra de roteamento | 🟥 Crítico | [[g1017-volt-typhoon\|Volt Typhoon]], LIMINAL PANDA | | Espionagem via supply chain de software de rede | 🟧 Alto | LIMINAL PANDA, AQUATIC PANDA | | DDoS geopolítico em operadoras | 🟧 Alto | NoName057(16), KillNet e afiliados | | Ransomware em provedores de telecom | 🟨 Médio | Qilin, Akira (Dragos Q3: 33 incidentes) | ## TTPs Frequentes - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração de CVEs em roteadores Cisco, firewalls Fortinet, Ivanti; Salt Typhoon explorou CVE-2023-46805, CVE-2024-21887, CVE-2022-3236 - [[t1078-valid-accounts|T1078 - Valid Accounts]] - comprometimento de credenciais de administradores de rede; em caso documentado pelo FBI, atacantes controlaram 100.000+ roteadores via conta admin comprometida - [[t1195-002-supply-chain-compromise|T1195.002 - Supply Chain Compromise]] - hardware e software de fornecedores comprometidos em nível de firmware - [[t1218-system-binary-proxy-execution|T1218 - System Binary Proxy Execution]] - LOLBins para operação discreta em redes de roteamento - [[t1114-email-collection|T1114 - Email Collection]] - coleta de comúnicações de alvos de alto valor governamentais e corporativos ## Incidentes Recentes (2024-2025) - **Salt Typhoon - Telecoms EUA/Global (2023-2025)** - maior campanha de espionagem documentada; 9 operadoras americanas comprometidas (AT&T, Verizon, T-Mobile), 80 países afetados incluindo Brasil; acesso a CALEA, metadados de 1M+ usuários, gravações de comúnicações de autoridades - **LIMINAL PANDA - América Central e do Sul (2024-2025)** - acesso provável a provedores de telecom para suporte a coleta de inteligência (CrowdStrike) - **Viasat EUA - jun/2025** - operadora de satelite confirmada como vítima do Salt Typhoon - **Operadora canadense - fev/2025** - comprometida pelo Salt Typhoon sem nome revelado - **Brasil - espionagem via telecom (2025)** - empresas de telecom usadas como base para espionagem e movimentação lateral com roubo massivo de dados (Cipher x63) ## Estatisticas (2025) | Métrica | Valor | Fonte | |---------|-------|-------| | Ataques DDoS a operadoras móveis Brasil H1/2025 | 170.637 ataques | Netscout TIR 2025 | | Pico DDoS - Brasil H1/2025 | 429,63 Gbps | Netscout TIR 2025 | | Crescimento de ataques ao setor telecom Q1/2025 | +94% YoY | Check Point Q1/2025 | | Ataques semanais/org - telecom (global, ago/2025) | 2.992 (+28% YoY) | Check Point ago/2025 | | Organizações telecom afetadas por ransomware (2025) | 9,86% | Kaspersky 2025 | | Incidentes de ransomware industrial em telecom Q3/2025 | 33 incidentes | Dragos Q3 2025 | | Países afetados pelo Salt Typhoon | 80 países | FBI/CISA Advisory AA25-240A | ## Contexto Brasil/LATAM O Brasil possui mercado de telecomúnicações dominado por Claro, TIM, Vivo (Telefônica) e operadoras regionais. A infraestrutura de fibra óptica, data centers e redes 5G representa [[critical-infrastructure|infraestrutura crítica nacional]]. A legislação brasileira equivalente ao CALEA americano obriga operadoras a disponibilizar capacidade de interceptação legal - tornando esses sistemas alvos prioritários para atores estatais adversários. O [[g1045-salt-typhoon|Salt Typhoon]] tem o Brasil entre seus alvos documentados (Trend Micro, 2024). A [[anatel|ANATEL]] regula e fiscaliza o setor, mas frameworks específicos de segurança OT para telecom são nascentes no Brasil, criando lacunas regulatórias exploradas por atacantes. A [[lgpd|LGPD]] impõe notificação obrigatória à [[anpd|ANPD]] em casos de vazamento de dados de usuários de telecom. O setor conecta-se diretamente com ameaças documentadas na [[latam|região LATAM]], onde espionagem via redes de telecomúnicações é um vetor crescente. ## Regulação Aplicavel - **ANATEL** - Agência Nacional de Telecomúnicações; regulação e fiscalização do setor - [[lgpd|LGPD]] - dados de usuários de telecomúnicações; notificação à ANPD obrigatória - **Lei 9.296/1996** - interceptação legal (equivalente brasileiro ao CALEA) - **Resolução ANATEL 740/2020** - requisitos de segurança para redes de telecomúnicações ## Referências - [ANATEL](https://www.anatel.gov.br/) - FBI/CISA Advisory AA25-240A: Salt Typhoon TTPs (ago/2025) - Kaspersky: Telecom Sector Cybersecurity 2025 (dez/2025) - CrowdStrike: 2025 LATAM Threat Landscape Report (mar/2026) - Netscout: Threat Intelligence Report DDoS TIR 2025.1 (set/2025) - Cipher x63 Unit: Brazilian Critical Infrastructure Threat Landscape (dez/2025)