Спецслужбы КНР три года прослушивали секретные каналы связи США

Хакерская группировка Salt Typhoon, связанная с правительством КНР, использует специальную утилиту JumbledPath для скрытого мониторинга сетевого трафика и возможного перехвата конфиденциальных данных. Основными целями атак стали американские телекоммуникационные компании.

Salt Typhoon, известная также как Earth Estries, GhostEmperor и UNC2286, действует с 2019 года, специализируясь на кибер шпионаже против государственных организаций и операторов связи. В конце прошлого года американские власти подтвердили успешные атаки этой группы на крупнейших телеком-провайдеров США, включая Verizon, AT&T, Lumen Technologies и T-Mobile.

Расследование показало, что злоумышленники смогли получить доступ к конфиденциальным коммуникациям некоторых американских чиновников, а также похитили информацию, связанную с запросами на прослушивание, санкционированными судом. В период с декабря 2024 года по январь 2025 года группа атаковала более 1000 сетевых устройств Cisco, большая часть которых находилась в США, Южной Америке и Индии.

Аналитики Cisco Talos выяснили , что в некоторых случаях атакующие сохраняли присутствие в инфраструктуре телеком-компаний более трёх лет. Основной метод проникновения — использование украденных учётных данных. Хотя также была зафиксирована единичная эксплуатация уязвимости CVE-2018-0171 , исследователи не обнаружили признаков использования уязвимостей нулевого дня.

После проникновения хакеры расширяли свои привилегии, извлекая дополнительные учётные записи из конфигураций устройств и перехватывая аутентификационный трафик (SNMP, TACACS, RADIUS). Они также выгружали конфигурации сетевых устройств через TFTP и FTP, получая данные об учётных записях, паролях и сетевых топологиях.

Для сокрытия следов злоумышленники регулярно перемещались между сетевыми устройствами, использовали скомпрометированные узлы для выхода в другие сети и модифицировали конфигурации маршрутизаторов, включая активацию режима Guest Shell, изменение списков управления доступом (ACL) и создание скрытых учётных записей.

Одним из ключевых инструментов в арсенале Salt Typhoon стала утилита JumbledPath — вредоносное ПО на языке Go для Linux-систем, совместимое с сетевыми устройствами разных производителей, включая Cisco Nexus. Она позволяла перехватывать трафик с целевых устройств через промежуточный узел, маскируя активность под законные операции. Также JumbledPath мог отключать журналирование и стирать логи, затрудняя анализ инцидентов .

Эксперты Cisco рекомендуют администраторам сетей отслеживать несанкционированную SSH-активность на нестандартных портах, аномалии в логах, включая исчезновение или резкое увеличение файлов «.bash_history», а также неожиданное изменение конфигурации сетевых устройств.

В последние годы китайские хакерские группировки активно атакуют периферийные сетевые устройства, используя вредоносное ПО для перехвата трафика, кражи учётных данных и организации прокси-серверов для дальнейших атак. В числе пострадавших — устройства Fortinet, Barracuda, SonicWall, Check Point, D-Link, Cisco, Juniper, NetGear и Sophos. Администраторам настоятельно рекомендуется своевременно устанавливать обновления безопасности, чтобы минимизировать риски взлома.