Хакерская группа, которую связывают с Китаем, является частью более широкого кластера хакеров, чья общая цель — помочь Китаю подготовиться к возможной войне с Тайванем, согласно исследователям. Американские официальные лица назвали потенциальное вторжение Китая на Тайвань «угрозой, определяющей эпоху». Значительная часть усилий группы была сосредоточена на взломе маршрутизаторов Cisco на периферии сети компании для проникновения и захвате контроля над устройствами наблюдения, которые американские телекоммуникационные компании по закону обязаны устанавливать, чтобы разрешить правоохранительным органам мониторинг звонков и сообщений.
В то время как Salt Typhoon сосредоточена на взломе телекоммуникационной инфраструктуры, другие взламываемые Китаем группы, такие как Volt Typhoon, занимаются предварительным размещением для деструктивных кибератак, способных вызвать широкомасштабные сбои; а Flax Typhoon управляет ботнетом из скомпрометированных устройств, подключенных к интернету, для сокрытия вредоносного интернет-трафика хакеров.
Но Salt Typhoon, безусловно, является одной из самых плодовитых хакерских групп последних лет, в том числе нацеливаясь на некоторые ведущие американские телефонные компании.
Взломы позволили Китаю получить записи звонков, текстовые сообщения и записанный аудиоматериал телефонных разговоров высокопоставленных чиновников США, многие из которых считались целями, представляющими интерес для правительства. Это побудило ФБР настоятельно рекомендовать американцам перейти на приложения для обмена сообщениями со сквозным шифрованием, опасаясь, что их коммуникации могут прослушиваться иностранным противником.
Salt Typhoon пошла еще дальше, взломав по меньшей мере 200 компаний по всему миру, по словам официальных лиц ФБР. Список пострадавших стран продолжает расти.
Вот страны, в которых были зафиксированы взломы, приписываемые Salt Typhoon.
Соединенные Штаты
Некоторые ведущие телефонные компании США, включая AT&T и Verizon, были подтверждены как взломанные Salt Typhoon, как и интернет-провайдер CenturyLink (теперь Lumen). T-Mobile заявила, что на нее была совершена атака, но хакеры не получили доступа к звонкам, текстовым сообщениям или голосовой почте ее клиентов.
Гигант спутниковой связи Viasat также был скомпрометирован, что позволило хакерам получить доступ к инструментам, используемым правоохранительными органами для доступа к коммуникациям других лиц.
Интернет-провайдеры и поставщики данных Charter Communications (Spectrum) и Windstream также были названы жертвами Salt Typhoon. Гигант волоконно-оптических сетей Consolidated Communications, как сообщается, был взломан в рамках этой кампании.
Хакеры нацеливались не только на телефонных и интернет-провайдеров. Согласно несколькимсообщениям, Salt Typhoon скомпрометировала сети Национальной гвардии одного из штатов США, что позволило им украсть данные и получить доступ к другим сетям во всех остальных штатах США и нескольких территориях.
Северная и Южная Америка
По данным фирмы по безопасности Recorded Future, ее исследователи видели, как Salt Typhoon нацеливалась на устройства Cisco, связанные с университетами в Аргентине и Мексике и других странах.
Тем временем правительство Канады подтвердило, что ее ведущие телекоммуникационные компании были взломаны Китаем в рамках расширенной шпионской кампании Salt Typhoon. Канада также подтвердила, что несколько маршрутизаторов Cisco у одного из телекоммуникационных гигантов были взломаны для кражи данных компании.
Правительство в Оттаве предупредило, что видело нацеливание на компании, которое «выходит за рамки только телекоммуникационного сектора».
Trend Micro сообщила, что видела активность Salt Typhoon в Бразилии, самой густонаселенной стране Южной Америки.
Азия, Африка и Океания
Recorded Future сообщила, что видела, как Salt Typhoon нацеливалась как минимум на одного телекоммуникационного провайдера из Мьянмы, Mytel, через взломанные маршрутизаторы Cisco, а также на южноафриканского телекоммуникационного провайдера. Она также видела атаки, нацеленные на маршрутизаторы университетов в Бангладеш, Индонезии, Малайзии и Таиланде.
Япония также предупредила об угрозе Salt Typhoon для своих сетей.
Правительства Австралии и Новой Зеландии заявляют, что видели активность Salt Typhoon в своих секторах телекоммуникаций и критической инфраструктуры. Новая Зеландия сообщила, что также видела хакеров Salt Typhoon в государственном секторе, а также в сетях транспортной, гостиничной и военной инфраструктуры.
Trend Micro также сообщила, что обнаружила по меньшей мере 20 скомпрометированных организаций в секторах телекоммуникаций, консалтинга, химической промышленности и транспорта, а также в государственных учреждениях и некоммерческих организациях в различных странах, включая Афганистан, Эсватини, Индию, Тайвань и Филиппины.
Европа
Правительство Великобритании подтвердило, что в Соединенном Королевстве наблюдался «кластер активности» Salt Typhoon. Хотя активность не была уточнена, сообщения в прессе предполагают, что записи телефонных разговоров и текстовые сообщения высокопоставленных сотрудников правительства Великобритании могли прослушиваться и читаться.
Норвегия также подтвердила, что хакеры Salt Typhoon взломали несколько организаций в стране.
Голландские власти в Нидерландах заявляют, что несколько небольших интернет-провайдеров и хостинг-провайдеров стали целями и имели доступ к маршрутизаторам, но их внутренние сети не были скомпрометированы.
Итальянский интернет-провайдер был взломан, по данным Recorded Future.
А по словам чешских специалистов по кибербезопасности, инциденты, связанные со взломами Salt Typhoon, были зафиксированы в Финляндии и Польше.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Zack Whittaker
