Китайські хакери Salt Typhoon раніше діяли в США під іншим ім'ям, повідомляє CISA

23 січня 2025 р. 07:02

23 січня 2025 р. 07:02

За словами Джен Істерлі, директора Агентства кібербезпеки та захисту інфраструктури (CISA), китайська група кібершпигунства Salt Typhoon, яка нещодавно зламала мережі американських телекомунікаційних компаній, раніше орудувала в мережі під іншим ім'ям.

«Ми побачили, що це була окрема кампанія з іншою химерною кібернетичною назвою. І ми змогли, завдяки тому, що у нас був огляд федеральних мереж, з'єднати деякі точки», — сказала вона під час дискусії у Фонді захисту демократій 15 січня.

Передбачається, що робота Salt Typhoon торкнулася великої кількості дзвінків у Сполучених Штатах і вразила американську розвідувальну спільноту. У деяких випадках хакери, як повідомляється, перехоплювали розмови між важливими американськими політиками і чиновниками. Деякі законодавці назвали ці вторгнення найгіршими телекомунікаційними зломами в історії США.

У грудні влада США виявила, що дев'ять американських телекомунікаційних компаній стали жертвами Salt Typhoon; однак, за словами директора CISA, китайські хакери вже проводили свою кампанію шпигунства «за один-два роки» до того, як їх виявили.

Ця більш рання ідентифікація під іншим ім'ям дала змогу чиновникам встановити зв'язок із Salt Typhoon через інформаторів із приватного сектору, що, за словами Істерлі, зрештою «відкрило пролом у ширшій справі Salt Typhoon».

Пізніше, 15 січня, у своєму блозі вона заявила, що «складна і добре забезпечена ресурсами кіберпрограма» Пекіна становить загрозу для критичної інфраструктури США.

На її думку, адміністрація ліквідувала деякі випадки вторгнення китайських агентів, але необхідно й надалі зміцнювати кіберзахист і пильність у державному та приватному секторах. Тому CISA визначила три «напрямки дій» для боротьби з постійними загрозами.

Перший захід — вигнання китайських хакерів із мереж жертв. Другий — налагодити співпрацю в галузі кіберзахисту між ключовими партнерами в секторах ІТ, комунікацій і кібербезпеки.

Третій етап включає в себе такі послуги, як CyberSentry — система виявлення загроз, керована CISA, яка допомагає знизити ризики, створювані китайськими кіберакторами. До нього також входять послуги з управління поверхнею атаки — тип кіберзахисту, який виявляє й усуває технологічні недоліки, що дають змогу кіберзагрозам закріпитися. За словами Істерлі, CISA вже надала цю послугу 7 000 організацій, що надають критично важливі послуги.

Атаки на все, скрізь і одночасно

Минулого року директор CISA дала свідчення в Комітеті Палати представників з розслідування діяльності Комуністичної партії Китаю. У своєму нещодавньому дописі в блозі вона наголосила на геополітичному контексті, в якому посилюється кібершпигунство проти США, особливо з боку китайського режиму.

«Я наголосила на цілком реальній можливості того, що криза в Азії, спровокована вторгненням на Тайвань або блокадою Тайванської протоки, може мати цілком реальні наслідки для безпеки американських громадян тут, удома», — сказала Істерлі.

На її думку, за таким вторгненням можуть послідувати руйнівні атаки, спрямовані «на все, скрізь і одночасно», зокрема на транспортні вузли, телекомунікаційні послуги, електромережі, водопровідні споруди.

«І, ймовірно, багато іншого, все з метою викликати соціальну паніку і знизити нашу здатність мобілізувати військову міць і готовність наших громадян (...) стати на захист Тайваню», — додала вона.

Санкції Міністерства фінансів

17 січня Міністерство фінансів США оголосило про введення санкцій проти китайської компанії з кібербезпеки Sichuan Juxinhe Network Technology Co. за її «безпосередню участь у кібергрупі Salt Typhoon».

Міністерство фінансів також запровадило санкції проти хакера з Шанхаю Інь Кечена, який, як вважається, стоїть за великим вторгненням у мережу міністерства на початку грудня. Хакер пов'язаний із Міністерством державної безпеки Китаю, йдеться в повідомленні міністерства.

Світ