Масштабная хакерская атака со стороны Китая, ранее всколыхнувшая США, теперь накрыла Канаду

Александр Гайдамашко

Основные тезисы

Канадские телекоммуникационные компании стали жертвами хакерской кампании, которую осуществляет китайская группа Salt Typhoon.
Она взломала оборудование канадских провайдеров, используя уязвимости сетевых устройств.
Salt Typhoon, активна с 2024 года, ранее атаковала телекоммуникационные сети в США, собирая чувствительные данные.

Китайская шпионская атака на телеком-компании Канады разворачивается после взломов в США

Флаг Канады / Unsplash

Канадские телекоммуникационные компании стали новой целью масштабной шпионской кампании, которую осуществляет связанная с правительством Китая хакерская группа Salt Typhoon. В середине февраля злоумышленники взломали оборудование по меньшей мере одного канадского провайдера, а до этого их присутствие обнаружили в многочисленных системах по всем Соединенным Штатам.

Китайский след

Канадское правительство и ФБР США сообщили, что атаки были организованы группировкой Salt Typhoon, которая поддерживается КНР. В середине февраля 2025 года киберпреступники скомпрометировали по меньшей мере три маршрутизатора Cisco одной из канадских телеком-компаний. Они воспользовались уязвимостью CVE-2023-20198, чтобы загрузить конфигурационные файлы, изменить один из них и настроить GRE-туннель для сбора сетевого трафика, сообщает 24 Канал со ссылкой на официальное объявление.

Канадский центр кибербезопасности отмечает, что цель атаки – не только телекоммуникационный сектор. В прошлом Salt Typhoon атаковала хостинг-центры, американских интернет-провайдеров и мобильных операторов в рамках масштабной шпионской операции. Ее задача – сбор разведывательных данных, включая информацию о правительственных чиновниках, геолокацию пользователей, перехват звонков и сообщений.

Расследование Канадского киберцентра подтверждает: Salt Typhoon пытается получить доступ к данным, циркулирующих в телекоммуникационных сетях, и, возможно, использовать устройства провайдеров для дальнейших атак на другие организации. Анализ вредоносного ПО, обнаруженного в системах, указывает на связь с предыдущими операциями этой группировки.

Киберцентр отмечает – подобные кампании со стороны КНР вероятнее всего будут продолжаться не менее двух лет. Правительство Канады предостерегает, что телекоммуникационные сети являются одним из важнейших объектов шпионского интереса. Через них злоумышленники получают доступ к конфиденциальным клиентским данным, среди которых – контакты, местонахождение и правительственная информация.

Salt Typhoon активно использует уязвимости в периферийных сетевых устройствах – маршрутизаторах, VPN и брандмауэрах. Именно через них группа обеспечивает себе долгосрочное присутствие в скомпрометированных сетях, получает контроль над трафиком и может проникать глубже в инфраструктуру жертв.

Угроза не ограничивается Канадой

Salt Typhoon активна как минимум с 2024 года. Китайские преступники уже атаковали крупные телеком-сети в США, собирая записи звонков, частные сообщения и другие чувствительные данные, в частности тех, кто причастен к государственному управлению или политике.

Все началось с того, что в ноябре 2024 года было впервые обнаружено их присутствие в сетях нескольких провайдеров. Они похитили данные прослушивания и записи мобильных телефонов, включая данные о высокопоставленных чиновников из круга Трампа и Камалы Харрис. Среди жертв атаки – Verizon, AT&T и Lumen, что могло повлиять на десятки миллионов американцев, хотя не все были объектами слежки. Эту операцию сразу же назвали крупнейшим телекоммуникационным взломом в американской истории.
Количество провайдеров, у которых находили присутствие Salt Typhoon со временем росло. Уже в конце декабря правительство США заявило о девятой жертве, но название компании не сообщили.
Также стало известно, что Китай взломал особую систему прослушивания разговоров, которой пользовалось правительство США. Это внутренняя засекреченная система, которую используют по решению суда для прослушивания целей в рамках расследований правительства.
В январе телекоммуникационные компании AT&T и Verizon официально обвинили Китай в атаке, а также заявили, что активность Salt Typhoon в их сетях прекратилась после разоблачения. Несмотря на это, правительство и ФБР сообщали, что сама кампания не завершилась, а хакеры все еще присутствуют в телекоммуникационных сетях США.
В июне мы также сообщали, что эти же хакеры взломали главную спутниковую компанию мира Viasat. Она предоставляет спутниковый интернет для правительств, авиационной, энергетической, военной и морской отраслей, а также обычным пользователям по всему миру, в том числе и в Украине.

Канада считает, что доступ к телеком-инфраструктуре может быть одним из элементов долговременной кампании Пекина по подготовке к возможному конфликту вокруг Тайваня. По данным разведки, китайские киберактивисты постоянно ищут способы получения данных через надежных посредников – провайдеров облачных, управляемых и телеком-сервисов.