Що сталося

Судячи з наявної зараз інформації, китайське хакерське угруповання Salt Typhoon добралося до таких популярних провайдерів, як Verizon, AT&T, Lumen Technologies та інших, пише BleepingComputer. Злочинці отримали доступ до систем, які використовуються федеральним урядом США для дозволеного судом прослуховування телефонних розмов, відслідковування інтернет-трафіку та інших методів стеження.

Дивіться також Microsoft знешкодила частину інфраструктури російських державних хакерів

Системи прослуховування, передбачені 30-річним федеральним законом США, є одними з найбільш чутливих у мережах телекомунікаційних та інтернет-провайдерів, оскільки надають обраним співробітникам майже необмежений доступ до інформації про своїх клієнтів, включаючи їхній інтернет-трафік та історію відвідувань.

Дослідники інтернет-безпеки роками били на сполох щодо ризиків, пов'язаних із законодавчо встановленими "чорними ходами", адже знали, що одного дня це обернеться катастрофою. Вони кажуть, що технологічно неможливо створити "безпечний бекдор", який не може бути використаний зловмисниками.

Ріана Пфефферкорн, науковиця зі Стенфорда й експертка з політики шифрування, каже, що цей закон, який був прийнятий у 1994 році, коли мобільні телефони були рідкістю, а інтернет перебував у зародковому стані, сьогодні несе більше шкоди, ніж користі: "Ця система ставить вас під загрозу, а не захищає", – каже вона.

Я думаю, що це було абсолютно неминуче,
– прокоментував інцидент професор Джорджтаунського університету права та експерт з безпечних систем Метт Блейз.

Як повідомляється, хакерські атаки могли призвести до викрадення "величезної колекції інтернет-трафіку" телекомунікаційних та інтернет-гігантів США. Видання CNN і The Washington Post підтвердили факт втручання через свої джерела, а також те, що розслідування уряду США перебуває на початковій стадії.

Цілі китайської кампанії ще не до кінця відомі, але WSJ посилається на інформаторів з національної безпеки, які вважають злам "потенційно катастрофічним". Хоча підтверджень ще немає, але Salt Typhoon також могли зламати подібні організації в інших країнах.

Про Salt Typhoon

  • Salt Typhoon є однією з кількох хакерських організацій, підтримуваних Китаєм, які, як вважають, складають основу для руйнівних кібератак у разі можливого майбутнього конфлікту між Китаєм і Сполученими Штатами.
  • Група працює щонайменше з 2019 року і вважається складною для протидії.
  • Вона спеціалізується на державних установах та телекомунікаційних компаніях, як правило, в регіоні Південно-Східної Азії.
  • Дослідники безпеки також з'ясували, що суб'єкт загрози атакував готелі, інженерні компанії та юридичні фірми в Бразилії, Буркіна-Фасо, Південній Африці, Канаді, Ізраїлі, Франції, Гватемалі, Литві, Саудівській Аравії, Тайвані, Таїланді та Великій Британії.
  • Хакери зазвичай отримують початковий доступ до цільової мережі, використовуючи різноманітні вразливості, а не фішинг чи соціальну інженерію.

Слідчі все ще шукають початковий метод доступу, який використали для цієї нової атаки. WSJ повідомляє, що одним із можливих варіантів є отримання доступу до маршрутизаторів Cisco, які відповідають за перенаправлення інтернет-трафіку. Однак представник Cisco повідомив WSJ, що компанія вивчає це питання, але поки не отримала жодних вказівок на те, що мережеве обладнання компанії причетне до зламу.

Довга історія стеження

Як пише видання TechCrunch, прослуховування стало великим бізнесом, особливо після терактів 11 вересня 2001 року. Подальше прийняття законів після 11 вересня, таких як Патріотичний акт, значно розширило можливості стеження і збору розвідувальної інформації в США, в тому числі й про американців. Закон про бекдори та інші закони про стеження в цей час породили цілу індустрію компаній, що займаються прослуховуванням. Вони допомагали телефонним та інтернет-компаніям дотримуватися закону, здійснюючи прослуховування від їхнього імені.

Значна частина того, як саме ці правила працювали на практиці та який доступ уряд мав до приватних даних американців, трималася значною мірою в таємниці аж до 2013 року, коли колишній підрядник АНБ Едвард Сноуден оприлюднив тисячі американських секретних документів, широко викриваючи методи й практику стеження уряду протягом останнього десятиліття, включно з величезним збором приватних даних американців.

Хоча більша частина скандалу зі стеженням Сноудена була зосереджена на тому, як уряд США та його найближчі союзники збирали секретні дані про цілі за кордоном (серед них терористи та ворожі урядові хакери), все ж викриття шпигунства уряду США призвело до обурення як з боку звичайних громадян, так і з боку технологічних гігантів Кремнієвої долини, чиї системи в деяких випадках прослуховувались без їхнього відома американськими спецслужбами. Кремнієва долина колективно дала відсіч, що частково призвело до скасування багаторічної секретності та загальної невідомості щодо прослуховування, санкціонованого урядом.

У наступні роки технологічні гіганти почали шифрувати якомога більше даних клієнтів, розуміючи, що компанію не можна змусити передати дані клієнтів, до яких вони самі не мають доступу. Розробники, яких колись звинувачували у сприянні американському стеженню, також почали публікувати "звіти про прозорість", у яких детально описувалося, скільки разів компанії були змушені передавати дані клієнтів протягом певного періоду часу.

У той час як технологічні компанії почали блокувати свої продукти, щоб сторонні шпигуни (а в деяких випадках навіть самі технологічні компанії) не могли отримати доступ до даних клієнтів, телефонні та інтернет-компанії мало що робили для шифрування телефонного та інтернет-трафіку своїх користувачів. Таким чином, значна частина інтернет- і телефонного трафіку в США залишається доступною для прослуховування відповідно до закону.

Дивіться також Ніякого захисту і таємний API для викрадення даних: хакери публікують власний погляд на Telegram

США не єдині

Але не лише Сполучені Штати мають апетит до бекдорів і шпигунства. Деякі інші уряди продовжують наполегливо проштовхувати законодавство, яке підриває, обходить або іншим чином компрометує шифрування. Держави-члени Європейського Союзу працюють над тим, щоб на законодавчому рівні зобов'язати додатки для обміну повідомленнями сканувати приватне листування своїх громадян на предмет наявності матеріалів, що містять підозри на насильство над дітьми. Експерти з безпеки стверджують, що не існує технології, здатної досягти того, чого вимагають закони, без ризику зловживань з боку зловмисників.

Signal, додаток для обміну зашифрованими повідомленнями, був одним з найголосніших критиків бекдорів у шифруванні. Компанія навела нещодавній злам американських інтернет-провайдерів китайцями як причину того, що європейські пропозиції становлять серйозну загрозу кібербезпеці.

Неможливо створити бекдор, яким зможуть користуватися лише "хороші хлопці",
– сказала президентка Signal Мередіт Віттакер на своїй сторінці в Mastodon.

Що ж у висновку

Поки що компанії, які постраждали, не коментують звіти про цю атаку. Видання BleepingComputer пише, що зв'язалося з усіма трьома, але дві з них відмовились говорити, а третя, Verizon, узагалі проігнорувала лист.

Китайські хакерські групи все частіше націлюються на американські та європейські мережеві пристрої та інтернет-провайдерів під час кібершпигунських атак. Навряд чи це припиниться найближчим часом, оскільки протистояння між Китаєм і США тільки наростає.