Соляной тайфун: взлом китайского телефона.
Брайан Даннинг 4 февраля 2025 г.
В конце 2024 года новостные агентства по всему миру сообщили, что следователи обнаружили масштабную китайскую кибератаку на американские сети сотовой связи. Многие описали ее как крупнейшую подобную утечку в истории. Когда выяснилось, что Дональд Трамп, Джей Ди Вэнс, Камала Харрис и многие из их сотрудников были включены в атаку, многие люди решили, что это часть скоординированной схемы по влиянию на исход выборов в США. Это также произошло во время эскалации торговой войны между Соединенными Штатами и Китаем, и некоторые интерпретировали это как китайский ответ на торговую войну. Хакерская группа называлась Salt Typhoon, и сегодня мы собираемся глубоко в ней разобраться и посмотреть, о чем она на самом деле, а о чем нет.
Salt Typhoon — это название, которое исследователи безопасности Microsoft дали большой и разносторонней группе хакеров в Китае. Мы не знаем, как они себя называют, если вообще называют; но известно, что они являются китайским подрядчиком, часто используемым Министерством государственной безопасности Китая. Salt Typhoon проникли в компьютерные системы не только в Соединенных Штатах, но и в десятках стран. Иногда они крадут корпоративную интеллектуальную собственность и проводят множество атак на отели, чтобы украсть их данные, но их основное внимание сосредоточено на национальных системах контрразведки, пытаясь выяснить, что их международные коллеги знают о них. Они также известны под другими названиями, данными другими компаниями по безопасности: Earth Estrie, Ghost Emperor, Famous Sparrow; но Salt Typhoon — наиболее часто используемое.
Если говорить нетехническим языком, то вот как они это сделали. Хакеры использовали уязвимости в определенных сетевых устройствах, таких как брандмауэры или маршрутизаторы. Производители этих устройств постоянно ищут такие уязвимости, и когда они их находят, они выпускают обновление программного обеспечения, чтобы исправить их. Но владельцы устройств не всегда применяют эти обновления, оставляя устройства открытыми для общедоступной уязвимости.
Существуют программы, известные как инструменты проникновения, которые автоматически ищут определенные уязвимости. Если у вас есть веб-сайт, он был проверен этими инструментами. Журналы вашего сервера, вероятно, показывают, что были предприняты попытки доступа к общим URL-адресам порталов администраторов, таким как /login или /administrator, и многим другим. Распространенные имена пользователей и пароли, такие как admin и 123456 , отправляются массово — практически все из списка 10 000 самых распространенных паролей Википедии. Очевидно, что подавляющее большинство из них терпят неудачу, но иногда один из них проходит. Когда это происходит, хакер получает уведомление, и теперь он может войти в вашу систему как администратор и начать ковыряться. Это относительно глупая атака, называемая грубой силой.
Но даже если это не удается, есть другие атаки, которые может попробовать инструмент проникновения. Одна из самых распространенных называется атакой инъекции. Известный пример этого был проиллюстрирован в популярном комиксе xkcd 2007 года, широко известном как « Little Bobby Tables ». Когда вы вводите информацию в веб-форму, например, свое имя пользователя и пароль на экране входа в систему, вы можете добавить команды базы данных к своим входным данным, которые небрежно защищенный веб-сайт мог бы фактически выполнить. Little Bobby Tables использовал это, чтобы удалить всю базу данных учеников в своей школе. Этот метод также можно использовать для установки программы на сервер, программы, которая может сделать что угодно, например, предоставить хакеру доступ для получения полного контроля над сервером.
Другой похожий метод называется атакой переполнения буфера, при которой в форму передается так много данных, что они могут перезаписать плохо защищенную часть памяти сервера программным кодом, который делает все, что захочет хакер.
Другая очень распространенная атака, которую Salt Typhoon, как известно, использовала в этом случае, называется целевым фишингом. Это когда хакеры идентифицируют конкретного человека в компании, у которого есть нужный им тип доступа. Затем хакеры отправляют этому человеку поддельные электронные письма или текстовые сообщения с просьбой войти в их систему, которые выглядят как обычные сообщения от системы. Если это обманывает человека, он переходит на веб-сайт, который выглядит знакомым, но на самом деле является копией, и вводит свое имя пользователя и пароль. Но они не попадают туда, куда они думают; эти учетные данные отправляются прямо хакеру, который затем может ими воспользоваться.
Существует много таких атак; вот лишь несколько из них, иллюстрирующих общую идею. Маршрутизатор или другое сетевое устройство имеет много тех же функций, что и другие серверы; им можно управлять удаленно, поэтому у него должны быть эти основные функции, которые позволяют хакерам совершать только что обсуждаемые типы атак или их вариации, которые слишком сложны, чтобы вдаваться в них здесь, но это та же самая основная идея.
Получив административный доступ к удаленному устройству, хакер может управлять им со своего компьютера, где бы он ни находился. Существуют также уловки, которые они могут использовать, чтобы скрыть свое соединение, так что невозможно будет отследить их до их фактического местоположения. В лучшем случае они могут использовать свой доступ, чтобы делать все, что может делать администратор. Они могут искать в базах данных, они могут загружать что-то, они могут удалять что-то. Они могут создавать новые секретные проходы, через которые они могут продолжать получать доступ к системе, даже если учетные данные или другой метод доступа, который они использовали изначально, были изменены или заблокированы. И следует подчеркнуть, что почти все это можно автоматизировать и выполнять в огромных масштабах и с ошеломляющей скоростью.
По оценкам, к концу 2024 года Salt Typhoon скомпрометировал около 100 000 устройств Fortinet и Cisco только внутри сети AT&T. В целом подтверждено, что Salt Typhoon взломал девять американских телекоммуникационных компаний, включая Verizon, AT&T, T-Mobile и шесть других.
Все это дало китайцам доступ к записям телефонных звонков практически любого американца, которого они хотели. Это не так уж и удивительно, поскольку любой компетентный хакер может получить эти данные; вам не обязательно быть частью Salt Typhoon. Совсем недавно, в январе 2025 года, 20-летний солдат американской армии был арестован за доступ и продажу журналов звонков обоих кандидатов в президенты США Дональда Трампа и Камалы Харрис. У обоих были журналы звонков с мобильных телефонов в AT&T, и ни у одного из них не была настроена двухфакторная аутентификация. Это говорит нам о том, что солдат почти наверняка проник в AT&T через один из распространенных типов атак, обсуждавшихся ранее.
Согласно журналам, проанализированным исследователями безопасности, Salt Typhoon в основном ограничила кражу данных о звонках несколькими десятками правительственных чиновников, включая сотрудников предвыборных штабов обоих кандидатов в президенты на выборах 2024 года. Однако атака, по-видимому, не была связана с попытками повлиять на выборы. Китай тоже делает много такого, но это совсем другие проекты.
Так что фактом является то, что Китай действительно получил огромные объемы данных о том, кто кому звонил, в основном относительно небольшому числу чиновников, и много данных о том, кто останавливался в каких отелях по всему миру. Однако жемчужиной их взлома была база данных прослушки Министерства юстиции США. Она включала все телефонные номера, которые прослушивало любое федеральное агентство. Это сообщило Китаю, кого США расследуют по любой причине: возможно, подозреваемых преступников, наркобаронов и, что самое главное, подозреваемых иностранных агентов. Предположив, что у Китая были шпионы в Соединенных Штатах, что, конечно, было и есть до сих пор, данные прослушки сообщили им, находятся ли какие-либо из их шпионов под следствием. Они также сообщили Китаю, каких шпионов из других стран расследуют США. С точки зрения контрразведки, это была чрезвычайно успешная атака.
Что еще они планируют делать со всеми этими данными, на самом деле является предметом спекуляций. Предполагается, что они используют механизмы искусственного интеллекта для анализа всех этих данных, ищут закономерности, строят карты социальных связей, возможно, выясняя, кто с кем связан в Вашингтоне и какие проекты привлекают наибольшее внимание.
Итак: утверждения о том, что взлом телекоммуникаций 2024 года был попыткой вмешательства в выборы, не соответствуют действительности. Утверждения о том, что это имело отношение к торговой войне между США и Китаем, также не соответствуют действительности. И есть еще кое-что…
Обычно, когда я выбираю тему для Skeptoid, я предпочитаю, чтобы это был решенный вопрос, что позволяет мне быть более всеобъемлющим и иметь преимущество ретроспективного взгляда. Однако на дату этого шоу, то есть на февраль 2025 года, у нас есть некоторые срочные новости об этой конкретной кибератаке. Когда о ней впервые сообщили в конце 2024 года, было объявлено, что расследование будет возглавлять Совет по рассмотрению кибербезопасности Министерства внутренней безопасности США. CSRB должен быть похож на NTSB, Национальный совет по транспорту и безопасности, наиболее известный тем, что отправляет самых опытных в мире следователей на места авиакатастроф, железнодорожных катастроф и т. д., чтобы найти, что пошло не так, и не допустить повторения этого. Именно этим CSRB и занимался в течение нескольких месяцев после обнаружения кибератаки. Но затем, как только президент Трамп вступил в должность в январе 2025 года, одним из его первых действий было увольнение всех в CSRB — всех профессиональных экспертов. Высокопоставленный член Комитета по внутренней безопасности Палаты представителей заявил: «Я обеспокоен тем, что попытка президента укомплектовать CSRB лоялистами может привести к задержке его важной работы по кампании по ликвидации последствий соляного тайфуна».
Использование им термина «лоялисты» вероятно было отсылкой к известному своей беспристрастностью члену CSRB Крису Кребсу, который в конце 2020 года был директором Агентства по кибербезопасности и безопасности инфраструктуры и был уволен Трампом за то, что его агентство пришло к выводу о том, что утверждение Трампа о том, что машины для голосования были взломаны, что способствовало поражению Трампа на выборах, было ложным.
Другие правоохранительные органы все еще работают над тем, чтобы выследить Salt Typhoon и привлечь их к ответственности, но CSRB был оборонным стратегом правительства США, который предотвратил следующую подобную атаку. Извините, если это объяснение прозвучало предвзято или было оскорбительным для кого-то — это не то, о чем Skeptoid — но было необходимо объяснить, как и почему Соединенные Штаты вряд ли построят своевременную защиту от Salt Typhoon или следующей группы, которая пойдет по их стопам.
И вот вам это. Когда вы слышите в новостях что-то сенсационное, как это было, вашей первой реакцией всегда должен быть скептицизм. Когда вы видите дикие утверждения в социальных сетях, утверждающие, что это было на самом деле, вы должны быть скептичны. И когда вы это делаете, вы обратитесь к первоисточникам — не политически предвзятым источникам, всегда — и получите чистую информацию. И сделайте это лучше. Когда предмет требует определенной экспертизы, чтобы действительно понять его, в данном случае кибербезопасность; перейдите на тематические веб-сайты — веб-сайты кибербезопасности для этого события — и узнайте, что говорят настоящие эксперты в этой области. Потому что, как правило, вы обнаружите, что СМИ немного недооценили вас.
Даннинг, Б. (2025, 4 февраля) Соляной тайфун: китайский телефонный взлом. Skeptoid Media. https://skeptoid.com/episodes/4974
Ссылки и дополнительная литература
Мэлоун, К. «Трамп увольняет Кребса из CISA в связи с уходом ряда ведущих киберспециалистов». Cybersecurity Dive. TechTarget, Inc., 17 ноября 2020 г. Веб-сайт. 2 февраля 2025 г. <https://www.cybersecuritydive.com/news/chris-krebs-cisa-election-security/588978/>
Монтгомери, Б. «Почему Китай взломал мировые телефонные сети?» The Guardian. Guardian News & Media Limited, 12 декабря 2024 г. Интернет. 2 февраля 2025 г. <https://www.theguardian.com/technology/2024/dec/09/why-did-china-hack-the-worlds-phone-networks>
Сэндифорд, М. «Совет по проверке кибербезопасности DHS рассмотрит атаку Salt Typhoon». Федеральная новостная сеть. Радио Хаббард Вашингтон, округ Колумбия, LLC, 29 октября 2024 г. Веб-сайт. 2 февраля 2025 г. <https://federalnewsnetwork.com/federal-newscast/2024/10/dhs-cyber-security-safety-review-board-to-examine-salt-typhoon-attack/>
Старкс, Т. «Устранение членов Совета по рассмотрению кибербезопасности вызвало тревогу у киберпрофессионалов, ключевого законодателя». Cyberscoop. Scoop News Group, 22 января 2025 г. Веб-сайт. 2 февраля 2025 г. <https://cyberscoop.com/removal-cyber-safety-review-board-members/>
Volz, D., Viswanatha, A., Krouse, S., FitzGerald, D. «Как китайские хакеры перешли от неуклюжих корпоративных воров к военному оружию». The Wall Street Journal. Dow Jones & Company, Inc., 4 января 2025 г. Веб-сайт. 2 февраля 2025 г. <https://www.wsj.com/tech/cybersecurity/typhoon-china-hackers-military-weapons-97d4ef95>
Volz, D., Viswanatha, A., Krouse, S., FitzGerald, D., McMillan, R. «Хакеры украли журналы вызовов, незашифрованные тексты и некоторые аудиозаписи, взломав коммуникационную инфраструктуру Америки». The Wall Street Journal. Dow Jones & Company, Inc., 5 ноября 2025 г. Интернет. 2 февраля 2025 г. <https://www.wsj.com/politics/national-security/china-hack-enabled-vast-spying-on-us-officials-likely-ensnaring-thousands-of-contacts-1340ba4a>
Комментариев нет:
Отправить комментарий