Хакерська група Salt Typhoon із Китаю використовує вже існуючі вразливості, а не нові недоліки програмного забезпечення, щоб проникати в телекомунікаційні мережі США, згідно з даними федеральних слідчих.
У вівторок ФБР та Агентство з кібербезпеки та захисту інфраструктури (CISA) опублікували повідомлення, яке проливає світло на те, як ці кібер-шпигуни, підтримувані державою, проникли в мережі.
Агентства зазначили: «Станом на дату публікації виявлені експлуатації або компрометації, пов’язані з діяльністю цих загрозливих суб’єктів, відповідають існуючим слабким місцям інфраструктури жертв; нової активності не спостерігалося». У зв’язку з цим американські кіберфахівці закликають телекомунікаційні мережі впровадити оновлення для усунення недоліків у їхньому програмному забезпеченні та обладнанні.
Хоча у звіті не названо конкретних вразливостей, зазначається, що група Salt Typhoon націлюється на «специфічні для Cisco функції», які використовуються у сфері зв’язку. ФБР та CISA випустили це попередження, щоб допомогти американським телекомунікаційним компаніям ідентифікувати хакерів і видворити їх з мереж, на тлі повідомлень про те, що Salt Typhoon вже проникла до AT&T, Verizon, T-Mobile та інтернет-провайдерів для шпигування за активністю користувачів мобільних телефонів.
На пресбрифінгу у вівторок представники ФБР та CISA повідомили, що вони розпочали розслідування цих атак наприкінці весни, і це дозволило федеральним слідчим дійти висновку, що Salt Typhoon зламали мережі кількох телекомунікаційних провайдерів.
Китайські хакери мали можливість шпигувати та перехоплювати телефонні дзвінки групи високопосадовців США та працівників уряду. Крім того, Salt Typhoon викрали значну кількість записів клієнтів, які стосуються «де, коли і з ким» вони спілкувалися, хоча вміст голосових і текстових повідомлень не був викрадений, заявив високопоставлений представник ФБР.
Однак, незважаючи на те, що з моменту початку розслідування минуло близько п’яти місяців, США досі не змогли повністю оцінити масштаби порушення. Саме тому слідчі залишаються невпевненими, чи вдалося вигнати китайських хакерів із телекомунікаційних мереж США. Під час пресбрифінгу представники ФБР та CISA зауважили, що Salt Typhoon могли просто перейти в режим очікування з метою відновити доступ після зменшення уваги до інциденту.
«Кожна жертва унікальна; це не шаблонні компрометації з точки зору того, наскільки глибоко було порушено безпеку або що вдалося зробити зловмисникам», – сказав Джефф Грін, виконавчий помічник директора з кібербезпеки у CISA. «Можливість пом’якшення залежить від конкретного випадку».
