12 месяцев в тени: как Salt Typhoon разоблачил агентурную сеть США

На прошлой неделе лидеры крупнейших американских телекоммуникационных компаний встретились в Белом доме для обсуждения масштабного проникновения китайских хакеров в системы связи. Группа Salt Typhoon незаметно находилась внутри сетей крупнейших телекоммуникационных компаний США почти год.

Расследование показало, что хакеры получили доступ к списку телефонных номеров подозреваемых, предназначенных для прослушивания в ходе уголовного разбирательства. Несмотря на то, что прослушивание звонков не подтверждено, злоумышленники могли сопоставить номера с геоданными, создавая карту разведывательной активности. Это позволило китайским властям понять, каких шпионов США уже идентифицировали, а какие остались незамеченными.

Первоначально масштаб взлома ограничивался регионами вокруг Вашингтона, но позже следователи обнаружили, что хакеры проникли в сети по всей стране, используя уязвимости старого оборудования. Помимо телекоммуникационных компаний, атака затронула интернет-провайдеров, что теоретически могло позволить хакерам читать часть электронных писем пользователей. Отмечается, что сообщения, отправленные через WhatsApp, Signal и внутренние системы Apple, не затронуты.

Главной темой обсуждения в Белом доме стало отсутствие надёжных мер защиты сетей и необходимость полной модернизации инфраструктуры. В некоторых системах до сих пор используются технологии 1970–1980-х годов, что делает их уязвимыми для кибератак. Участники встречи пришли к выводу, что единственным способом решения проблемы является замена старого оборудования, что может вызвать перебои в работе сетей и значительные финансовые затраты.

Эксперты отмечают, что на фоне обвинений между телекоммуникационными компаниями, регуляторами и спецслужбами США ключевая вина лежит на медленной модернизации систем. Многие компании не применяют даже базовые методы защиты, такие как двухфакторная аутентификация (2FA).

Обсуждение проблемы вышло на международный уровень. Президент Джо Байден поднял тему взлома на встрече с председателем КНР Си Цзиньпином в Перу. Несмотря на серьёзность ситуации, американские власти ограничены в своих действиях, так как кибершпионаж считается допустимой формой разведки между державами.

ФБР также поручило своим подразделениям проверить безопасность информаторов и, при необходимости, заменить их устройства. В Белом доме создана специальная рабочая группа для оценки ущерба, а также комиссия для изучения причин взлома и поиска слабых мест в системе.

Несмотря на серьёзные последствия атаки, власти США до сих пор не представили широкой общественности подробности взлома, что лишает граждан возможности оценить, насколько их данные могли пострадать.

Salt Typhoon (GhostEmperor, FamousSparrow) действует с 2020 года и занимается кражей данных и разведкой, особенно перехватом интернет-трафика. Большинство целей — в Северной Америке и Юго-Восточной Азии. Другие китайские хакерские группировки, такие как Flax Typhoon и Volt Typhoon, уже пытались взломать критическую инфраструктуру США и готовились к возможным кибератакам.