Масштабна хакерська атака з боку Китаю, що раніше сколихнула США, тепер накрила Канаду

Китайський слід

Канадський уряд та ФБР США повідомили, що атаки були організовані угрупованням Salt Typhoon, яке підтримується КНР. У середині лютого 2025 року кіберзлочинці скомпрометували щонайменше три маршрутизатори Cisco однієї з канадських телеком-компаній. Вони скористались уразливістю CVE-2023-20198, щоб завантажити конфігураційні файли, змінити один з них і налаштувати GRE-тунель для збору мережевого трафіку, повідомляє 24 Канал з посиланням на офіційне оголошення.

Канадський центр кібербезпеки зазначає, що мета атаки – не лише телекомунікаційний сектор. У минулому Salt Typhoon атакувала хостинг-центри, американських інтернет-провайдерів і мобільних операторів у межах масштабної шпигунської операції. Її завдання – збір розвідувальних даних, включно з інформацією про урядовців, геолокацію користувачів, перехоплення дзвінків і повідомлень.

Розслідування Канадського кіберцентру підтверджує: Salt Typhoon намагається отримати доступ до даних, що циркулюють у телекомунікаційних мережах, і, можливо, використати пристрої провайдерів для подальших атак на інші організації. Аналіз шкідливого ПЗ, виявленого в системах, вказує на зв’язок із попередніми операціями цього угруповання.

Кіберцентр наголошує – подібні кампанії з боку КНР найімовірніше триватимуть щонайменше два роки. Уряд Канади застерігає, що телекомунікаційні мережі є одним з найважливіших об’єктів шпигунського інтересу. Через них зловмисники отримують доступ до конфіденційних клієнтських даних, серед яких – контакти, місцезнаходження та урядова інформація.

Salt Typhoon активно використовує вразливості в периферійних мережевих пристроях – маршрутизаторах, VPN та брандмауерах. Саме через них група забезпечує собі довгострокову присутність у скомпрометованих мережах, отримує контроль над трафіком і може проникати глибше в інфраструктуру жертв.

Загроза не обмежується Канадою

Salt Typhoon активна щонайменше з 2024 року. Китайські злочинці вже атакували великі телеком-мережі у США, збираючи записи дзвінків, приватні повідомлення та інші чутливі дані, зокрема тих, хто причетний до державного управління чи політики.

• Усе почалося з того, що в листопаді 2024 року було вперше виявлено їхню присутність у мережах кількох провайдерів. Вони викрали дані прослуховування та записи мобільних телефонів, включаючи дані про високопосадовців з кола Трампа та Камали Гарріс. Серед жертв атаки – Verizon, AT&T і Lumen, що могло вплинути на десятки мільйонів американців, хоча не всі були об'єктами стеження. Цю операцію відразу ж назвали найбільшим телекомунікаційним зломом в американській історії.
• Кількість провайдерів, у яких знаходили присутність Salt Typhoon з часом зростала. Вже наприкінці грудня уряд США заявив про дев'яту жертву, але назву компанії не повідомили.
• Також стало відомо, що Китай зламав особливу систему прослуховування розмов, якою користувався уряд США. Це внутрішня засекречена система, яку використовують за рішенням суду для прослуховування цілей в рамках розслідувань уряду.
• У січні телекомунікаційні компанії AT&T і Verizon офіційно звинуватили Китай в атаці, а також заявили, що активність Salt Typhoon у їхніх мережах припинилася після викриття. Попри це, уряд та ФБР повідомляли, що сама кампанія не завершилась, а хакери все ще присутні в телекомунікаційних мережах США.
• У червні ми також повідомляли про те, що ці ж самі хакери зламали головну супутникову компанію світу Viasat. Вона надає супутниковий інтернет для урядів, авіаційної, енергетичної, військової та морської галузей, а також звичайним користувачам по всьому світу, в тому числі й в Україні.

Канада вважає, що доступ до телеком-інфраструктури може бути одним із елементів довготривалої кампанії Пекіна з підготовки до можливого конфлікту навколо Тайваню. За даними розвідки, китайські кіберактивісти постійно шукають способи отримання даних через надійних посередників – провайдерів хмарних, керованих і телеком-сервісів.