Китайская группа хакеров Salt Typhoon была замечена под другим названием в сети США
По словам Джен Истерли, директора Агентства кибербезопасности и защиты инфраструктуры (CISA), китайская группа кибершпионажа Salt Typhoon, которая недавно взломала сети американских телекоммуникационных компаний, ранее орудовала в сети под другим именем.
«Мы увидели, что это была отдельная кампания с другим причудливым кибернетическим названием. И мы смогли, благодаря тому, что у нас был обзор федеральных сетей, соединить некоторые точки», — сказала она во время дискуссии в Фонде защиты демократий 15 января.
Предполагается, что работа Salt Typhoon затронула большое количество звонков в Соединенных Штатах и потрясла американское разведывательное сообщество. В некоторых случаях хакеры, как сообщается, перехватывали разговоры между важными американскими политиками и чиновниками. Некоторые законодатели назвали эти вторжения худшими телекоммуникационными взломами в истории США.
В декабре власти США обнаружили, что девять американских телекоммуникационных компаний стали жертвами Salt Typhoon; однако, по словам директора CISA, китайские хакеры уже проводили свою кампанию шпионажа «за один-два года» до того, как их обнаружили.
Эта более ранняя идентификация под другим именем позволила чиновникам установить связь с Salt Typhoon через информаторов из частного сектора, что, по словам Истерли, в конечном итоге «открыло брешь в более широком деле Salt Typhoon».
Позже, 15 января, в своем блоге она заявила, что «сложная и хорошо обеспеченная ресурсами киберпрограмма» Пекина представляет угрозу для критической инфраструктуры США.
По ее мнению, администрация ликвидировала некоторые случаи вторжения китайских агентов, но необходимо и дальше укреплять киберзащиту и бдительность в государственном и частном секторах. Поэтому CISA определила три «направления действий» для борьбы с постоянными угрозами.
Первая мера — изгнание китайских хакеров из сетей жертв. Вторая — наладить сотрудничество в области киберзащиты между ключевыми партнерами в секторах ИТ, коммуникаций и кибербезопасности.
Третий этап включает в себя такие услуги, как CyberSentry — система обнаружения угроз, управляемая CISA, которая помогает снизить риски, создаваемые китайскими киберакторами. В него также входят услуги по управлению поверхностью атаки — тип киберзащиты, который выявляет и устраняет технологические недостатки, позволяющие киберугрозам закрепиться. По словам Истерли, CISA уже предоставила эту услугу 7 000 организаций, предоставляющих критически важные услуги.
Атаки на все, везде и одновременно
В прошлом году директор CISA дала показания в Комитете Палаты представителей по расследованию деятельности Коммунистической партии Китая. В своей недавней записи в блоге она подчеркнула геополитический контекст, в котором усиливается кибершпионаж против США, особенно со стороны китайского режима.
«Я подчеркнула вполне реальную возможность того, что кризис в Азии, спровоцированный вторжением на Тайвань или блокадой Тайваньского пролива, может иметь вполне реальные последствия для безопасности американских граждан здесь, дома», — сказала Истерли.
По ее мнению, за таким вторжением могут последовать разрушительные атаки, направленные «на все, везде и одновременно», в том числе на транспортные узлы, телекоммуникационные услуги, электросети, водопроводные сооружения.
«И, вероятно, многое другое, все с целью вызвать социальную панику и снизить нашу способность мобилизовать военную мощь и готовность наших граждан (...) встать на защиту Тайваня», — добавила она.
Санкции Министерства финансов
17 января Министерство финансов США объявило о введении санкций против китайской компании по кибербезопасности Sichuan Juxinhe Network Technology Co. за ее «непосредственное участие в кибергруппе Salt Typhoon».
Министерство финансов также ввело санкции против хакера из Шанхая Инь Кечэна, который, как считается, стоит за крупным вторжением в сеть министерства в начале декабря. Хакер связан с Министерством государственной безопасности Китая, говорится в сообщении министерства.