Пекин взломал системы, которые должны ловить преступников. Хакеры читают переписку ФБР и АНБ

Salt Typhoon АНБ NCSC Китай телеком Cisco Ivanti США Великобритания
Пекин взломал системы, которые должны ловить преступников. Хакеры читают переписку ФБР и АНБ
Salt Typhoon АНБ NCSC Китай телеком Cisco Ivanti США Великобритания

Китайцы взломали мир, пока специалисты искали «невидимую» угрозу.

image

В совместном предупреждении уточняется масштаб атаки: не менее 200 американских организаций пострадали, география охватывает 80 стран — кампания вышла далеко за рамки обычной разведки. По словам руководства киберподразделения ФБР, злоумышленники добивались глубинного доступа к крупным операторам связи в США и за их пределами. Они извлекали данные о соединениях и отдельные директивы правоохранителей, выстраивая карту контактов и интересов спецслужб. Среди пострадавших оказались заметные фигуры из обеих партий.

На практике противник не полагался на редкие Zero Day — он последовательно взламывал сети через давно известные и уже закрытые проблемы. В ходу были CVE-2024-21887 в Ivanti Connect Secure, CVE-2024-3400 в PAN-OS GlobalProtect, CVE-2023-20198 и CVE-2023-20273 в Cisco IOS XE, а также CVE-2018-0171 в Cisco Smart Install.

Через бреши хакеры меняли ACL, поднимали SSH на нестандартных портах, создавали GRE/IPsec-туннели, использовали Guest Shell для удержания присутствия, перенаправляли TACACS+ и снимали аутентификационный трафик. Для перемещения и выгрузки данных применялись самописные утилиты на Go — «cmd1», «cmd3», «new2», «sft». При этом взламывались устройства вне зависимости от владельца — «чужие» сети использовались как ступеньки к истинным целям по доверенным межоператорским связям.

Широта поражения объясняется ещё и тем, что задействованные частные подрядчики получали свободу выбирать цели — отсюда избыточное число жертв в несмежных отраслях вроде гостиничного и транспортного сегментов. Телефонные вторжения — лишь часть более агрессивной линии Пекина: параллельно фиксировались бэкдоры в коммунальной инфраструктуре — энергетике и водоканалах.

В прошлых эпизодах Salt Typhoon проникала в сети AT&T, Verizon и Lumen, получая доступ к SMS, голосовой почте и даже к системам легальных прослушиваний. После этого регулятор обязал операторов подтянуть защиту по CALEA и ежегодно подтверждать актуальность управления рисками. Группа также эксплуатировала необновлённые Cisco IOS XE на объектах в США и Канаде, где настраивала долговременные туннели и похищала конфигурации. В арсенале оставалась и JumbledPath для перехвата трафика. Отдельным эпизодом проходит девятимесячное присутствие в сети подразделения Национальной гвардии США с кражей админских учётных данных и настроек.

Ответ на угрозу строится в лоб: сначала ставить обновления на пограничные устройства, затем ужесточать конфигурации, отключать лишние сервисы, ограничивать управление выделенными контурами, применять SSHv2 и SNMPv3, убирать Smart Install и Guest Shell там, где они не нужны. Совместный документ даёт подробный перечень взломанных классов оборудования и тактик плюс признаки поиска внутри корпоративных сетей.

При этом ФБР подчёркивает — активность не прекращена: противник прячет точки повторного входа и собирает сведения о конфигурациях, чтобы возвращаться позже.