CISA и ФБР подтвердили,что китайские хакеры получили доступ к “частным коммуникациям” некоторых американских госслужащих после взлома нескольких крупных телекоммуникационных компаний США. Как уточняют CISA и ФБР, хакеры получили доступ к “частным коммуникациям ограниченного круга лиц”, которые в основном связаны с правительственной или политической деятельностью.
Кроме того, выяснилось,что хакеры получили доступ к федеральным системам США, используемым для выполнения судебных ордеров на перехват сетевого трафика. По сообщениям, злоумышленники сохраняли доступ к сетям на протяжении нескольких месяцев, что позволило собирать значительные объемы интернет-трафика, проходящего через провайдеров, обслуживающих как крупные корпорации, так и миллионы рядовых пользователей.
Злоумышленники использовали проникновение в сети телекомов для получения данных о звонках, которые осуществлялись с устройств, используемых Дональдом Трампом, Джей Ди Вэнсом, Камалы Харрис и другими высокопоставленными чиновниками из обеих политических партий. Salt Typhoon сумели получить доступ к записям Call Detail Records, которые содержат детализированные данные о том, с кем, когда, как долго и где велись телефонные разговоры.
В начале октября были впервые опубликованы сообщения о взломах, затронувших инфраструктуру ведущих телекоммуникационных операторов, таких как Verizon, AT&T и Lumen Technologies, а также некоторых операторов из союзных стран. Эти атаки связывают с китайской кибершпионской группой Salt Typhoon, идентифицированной Microsoft .
Согласно данным источников, знакомых с расследованием, хакерам удалось перехватывать телефонные разговоры и текстовые сообщения, в том числе от высокопоставленных лиц, ответственных за вопросы нацбезопасности и политики США.
После раскрытия информации об атаке, Министерство внутренней безопасности США ввело строгие ограничения на коммуникацию сотрудников, а Бюро по защите прав потребителей в финансовой сфере США полностью исключило использование телефонов для служебного общения. Впоследствии ведомство заверило, что хакерам не удалось проникнуть в его информационные системы.
Salt Typhoon (GhostEmperor, FamousSparrow) действует с 2020 года и занимается кражей данных и разведкой, особенно перехватом интернет-трафика. Большинство целей – в Северной Америке и Юго-Восточной Азии. Другие китайские хакерские группировки, такие как Flax Typhoon и Volt Typhoon, уже пытались взломать критическую инфраструктуру США и готовились к возможным кибератакам.