Эксперт по кибербезопасности, специализирующийся на отслеживании угроз из Китая, утверждает, что двое участников группы Salt Typhoon ранее проходили обучение по программе, организованной Cisco.
Дакота Кэри из SentinelLabs связал Юй Яна и Цю Дайбина, двух предполагаемых членов китайской государственной хакерской группы, с участниками Cisco Networking Academy Cup 2012 года.
Эта инициатива действует и по сей день. Обычно она длится несколько месяцев и ориентирована на новичков, изучающих основы кибербезопасности, которые затем проверяются в соревнованиях, таких как “захват флага”.
Юй и Цю являются совладельцами Beijing Huanyu Tianqiong, одной из китайских технологических компаний, которые, согласно международным консультациям по безопасности, используются как прикрытие для деятельности Salt Typhoon.
Изучая их прошлое, Кэри обнаружил, что Юй и Цю представляли Юго-Западный нефтяной университет на кубке академии Cisco в Китае. Команда Юй заняла второе место в провинции Сычуань, а команда Цю выиграла его, а затем заняла третье место на национальном уровне, несмотря на то, что университет не отличался выдающимися академическими достижениями.
Исследователь также отметил связь между участием Юй и Цю в Cisco Networking Academy Cup, полученным там обучением и продуктами, которые, по его словам, они впоследствии использовали по указанию Пекина.
Он заявил: “Cisco Networking Academy была запущена в 1997 году и вышла на китайский рынок в 1998 году. Среди тем, освещаемых в Cisco Networking Academy, были многие продукты, которые эксплуатировала группа Salt Typhoon, включая Cisco IOS и ASA Firewalls“.
Впервые обнародованная в 2024 году, информация от международных кибернетических агентств гласит, что масштабная кампания, проводимая Salt Typhoon, привела к компрометации как минимум 80 телекоммуникационных компаний по всему миру.
Эти атаки позволили Китаю шпионить за секретной перепиской избранных должностных лиц, запросами CALEA правоохранительных органов США и многим другим. Кампания остается одним из самых серьезных и чувствительных нарушений кибербезопасности в истории США.
“Вся эта высокотехнологичная новизна скрывает историю, древнюю, как мир: опытный мастер обучает ученика, ученик осваивает навыки под руководством, ученик предает мастера из-за некоторых коренных идеологических разногласий между ними, которые со временем накапливаются”, — сказал Кэри.
“Спор Гордона Рамзи с Марко Пьером Уайтом, восхождение Энакина под руководством Оби-Вана Кеноби и изучение коммунизма Мао Цзэдуном под руководством Чэнь Дусю — все это укладывается в эту схему”.
Следует отметить, и Кэри сам это признал, что нет никаких оснований полагать, что Cisco или ее кубок академии сыграли какую-либо прямую роль в том, что пара впоследствии работала кибершпионами на Пекин.
“Сама программа не вызывает беспокойства, и участие в ней не следует рассматривать как таковое”.
Кэри заявил, что эти выводы предполагают, что любой поставщик, предлагающий местное обучение в геополитически недружелюбных регионах, должен осознавать, что знания об наступательных возможностях, вероятно, окажутся в руках противника.
Они также служат напоминанием о том, что образование не является надежным предиктором профессиональных возможностей, и что наступательные команды могут выиграть от того, чтобы отправлять своих сотрудников на аналогичные учебные программы, такие как академия Huawei ICT.
“Только ретроспективно, и на примере истории Цю и Юй, исследователи безопасности теперь могут увидеть, как эти усилия могли случайно способствовать развитию наступательных исследователей”, — сказал Кэри. “Обмен исходным кодом Microsoft с MSS давно расценивается сообществом безопасности как сделка с Фаустом.
“Образовательные инициативы не заслуживают такого признания, но могут представлять больше риска, чем отдачи, поскольку Коммунистическая партия Китая перестраивает компьютерные сети страны с использованием отечественных технологий — как ясно показывает документ Delete America, в этом их цель”.
The Register связался с Cisco для получения ответа. ®
Автор – Connor Jones
