Пекин взломал системы, которые должны ловить преступников. Хакеры читают переписку ФБР и АНБ

Salt Typhoon АНБ NCSC Китай телеком Cisco Ivanti США Великобритания
Пекин взломал системы, которые должны ловить преступников. Хакеры читают переписку ФБР и АНБ
Salt Typhoon АНБ NCSC Китай телеком Cisco Ivanti США Великобритания

Китайцы взломали мир, пока специалисты искали «невидимую» угрозу.

image

Американское АНБ , британский NCSC и партнёры из более чем 10 стран связали глобальные операции Salt Typhoon с тремя технологическими компаниями из КНР, а теперь к этому усилию присоединились ФБР и широкий круг союзников — от Five Eyes до Финляндии, Нидерландов, Польши и Чехии.

В совместном предупреждении уточняется масштаб атаки: не менее 200 американских организаций пострадали, география тянется через 80 стран — кампания вышла далеко за рамки обычной разведки. По словам руководства киберподразделения ФБР, злоумышленники добивались глубинного доступа у крупных операторов связи в США и за пределами, извлекали данные о соединениях и отдельные директивы правоохранителей, выстраивая карту контактов и интересов спецслужб; среди конечных пострадавших оказались заметные фигуры из обеих партий.

На практике противник не полагался на редкие Zero Day — он последовательно взламывал сети через давно известные и уже закрытые проблемы. В ходу были:

Через бреши хакеры меняли ACL, поднимали SSH на нестандартных портах, создавали GRE/IPsec-туннели, использовали Guest Shell для удержания присутствия, перенаправляли TACACS+ и снимали аутентификационный трафик. Для перемещения и выгрузки применялись самописные утилиты на Go — «cmd1», «cmd3», «new2», «sft». При этом взламывались устройства вне зависимости от владельца — «чужие» сети использовались как ступеньки к истинным целям по доверенным межоператорским связям.

Широта поражения объясняется ещё и тем, что задействованные частные подрядчики, как утверждают агентства, получали свободу выбирать цели — отсюда избыточное число жертв в несмежных отраслях вроде гостиничного и транспортного сегментов. Телефонные вторжения — лишь часть более агрессивной линии Пекина: параллельно фиксировалась бэкдор в коммунальной инфраструктуре — энергетику и водоканалы.

В прошлых эпизодах Salt Typhoon проникал в сети AT&T, Verizon и Lumen , получая доступ к SMS, голосовой почте и даже к системам легальных прослушиваний. После этого регулятор обязал операторов подтянуть защиту по CALEA и ежегодно подтверждать актуальность управления рисками. Группа также эксплуатировала не обновлённые Cisco IOS XE на объектах в США и Канаде, где настраивала долговременные туннели и похищала конфигурации. В арсенале оставалась и JumbledPath для перехвата трафика. Отдельным эпизодом проходит девятимесячное присутствие в сети подразделения Национальной гвардии США с кражей админских учётных данных и настроек.

Ответ на угрозу строится в лоб: сначала ставить обновления на пограничные устройства, затем ужесточать конфигурации, отключать лишние сервисы, ограничивать управление выделенными контурами, применять SSHv2 и SNMPv3, убирать Smart Install и Guest Shell там, где они не нужны. Совместный документ даёт подробный перечень взломанных классов оборудования и тактик плюс признаки поиска внутри корпоративных сетей. При этом ФБР подчёркивает — активность не прекращена: противник прячет точки повторного входа и собирает сведения о конфигурациях, чтобы возвращаться позже. Запросы о комментариях в адрес китайской стороны направлены, ответа на данный момент не последовало.