Санкции бессильны: хакеры Salt Typhoon даже не думали сбавлять темп кибератак

Китайская хакерская группа Salt Typhoon не снижает активности, несмотря на санкции США и пристальное внимание со стороны правительства. По данным исследователей , новая волна атак охватила телекоммуникационные компании и интернет-провайдеров в США, Великобритании, Таиланде, Южной Африке и Италии.

Кроме того, хакеры атаковали университеты в Аргентине, Бангладеш, Индонезии, Мексике и Малайзии. В США пострадали Калифорнийский университет, Технический университет штата Юта и Университет Лойолы Мэримаунт.

Новые атаки Salt Typhoon нацелены на уязвимости в сетевых устройствах Cisco, которые используются в критической инфраструктуре. Киберпреступники воспользовались двумя уязвимостями в Cisco IOS — операционной системе маршрутизаторов и коммутаторов Cisco. Одна из уязвимостей обеспечила хакерам первоначальный доступ, а другая дала полные права управления устройством, превращая его в инструмент шпионажа .

Исследователи обнаружили более 12 000 маршрутизаторов Cisco с открытым веб-интерфейсом, из которых хакеры атаковали более тысячи. Взломанные устройства были перенастроены на передачу данных прямиком на скрытые C2-серверы группировки через GRE-туннели, что позволило атакующим оставаться незамеченными и похищать конфиденциальную информацию.

Несмотря на широкое освещение в СМИ , официальные заявления Белого дома и санкции, на активность группы это никак не повлияло. В январе 2024 года Минфин США ввёл санкции против компании Sichuan Juxinhe Network Technology, которую связывают с Salt Typhoon. Однако кибератаки продолжились и после этого.

Деятельность Salt Typhoon называют самой масштабной кибершпионской кампанией Китая против США. Хакеры использовали уязвимости в софте телекоммуникационных провайдеров, в том числе те, что предназначены для перехвата данных спецслужбами. Власти США рекомендуют гражданам использовать приложения со сквозным шифрованием, такие как Signal и WhatsApp, чтобы защитить свою коммуникацию.

По мнению экспертов, китайские хакерские группы активно используют сетевые устройства в качестве точек входа, так как они зачастую не имеют должного уровня защиты и мониторинга. По данным исследователей безопасности, такой метод используется разведывательными структурами Китая уже не менее пяти лет.

Аналитики не исключают, что масштабы атаки могут быть ещё шире, чем уже выявлено. Несмотря на раскрытие их методов и многочисленные санкции, Salt Typhoon продолжает действовать с той же интенсивностью, не изменяя стратегию своих атак.