Gruparea chineză Salt Typhoon, campanie globală de spionaj cibernetic împotriva giganților de telefonie și internet

Gruparea de hackeri Salt Typhoon se află în spatele uneia dintre cele mai ample campanii de spionaj cibernetic din ultimii ani, vizând unele dintre cele mai mari companii de telefonie și internet din lume și furând zeci de milioane de înregistrări telefonice care privesc înalți oficiali guvernamentali.

Acest grup, atribuit Chinei, face parte dintr-un cluster mai larg de hackeri care urmăresc, potrivit cercetătorilor, să ajute China să se pregătească pentru un eventual război cu Taiwan. Oficialii americani au descris o posibilă invazie a Taiwanului drept o „amenințare care definește o epocă”. O mare parte dintre acțiunile Salt Typhoon s‑au concentrat pe compromiterea routerelor Cisco aflate la marginea rețelelor companiilor, pentru a pătrunde în interior, și pe preluarea controlului asupra dispozitivelor de supraveghere pe care operatorii telecom din SUA sunt obligați prin lege să le instaleze pentru a permite autorităților să monitorizeze apelurile și mesajele.

În timp ce Salt Typhoon vizează în principal infrastructura de telecomunicații, alte grupări de hackeri asociate Chinei, precum Volt Typhoon, se poziționează din timp pentru atacuri cibernetice distructive, capabile să provoace perturbări pe scară largă. Flax Typhoon, la rândul său, administrează o rețea botnet de dispozitive conectate la internet, deturnate pentru a ascunde traficul malițios generat de hackeri.

Salt Typhoon este însă, de departe, una dintre cele mai prolifice grupări de hacking din ultimii ani, atacând inclusiv unele dintre cele mai importante companii americane de telefonie.

Prin aceste atacuri, China a obținut metadate ale apelurilor, mesaje text și înregistrări audio de pe telefoanele unor înalți oficiali americani, mulți dintre ei considerați ținte de interes pentru guvern. Din această cauză, FBI a îndemnat populația să treacă la aplicații de mesagerie cu criptare completă (end‑to‑end), de teama că un adversar străin ar putea intercepta comunicațiile.

Salt Typhoon a mers mult mai departe, compromițând cel puțin 200 de companii la nivel global, potrivit oficialilor FBI. Lista țărilor afectate continuă să se extindă.

Unele dintre cele mai mari companii de telefonie din SUA, inclusiv AT&T și Verizon, au confirmat că au fost sparte de Salt Typhoon, la fel și furnizorul de internet CenturyLink (actualmente Lumen). T‑Mobile a declarat că a fost țintită, însă hackerii nu ar fi reușit să acceseze apelurile, mesajele text sau mesajele vocale ale clienților săi.

Gigantul în comunicații prin satelit Viasat a fost de asemenea compromis, ceea ce a permis atacatorilor să obțină acces la instrumente folosite de autoritățile de aplicare a legii pentru a intercepta comunicațiile altor persoane.

Furnizorii de internet și date Charter Communications (Spectrum) și Windstream au fost menționați și ei printre victimele Salt Typhoon. De asemenea, marele operator de rețele de fibră optică Consolidated Communications ar fi fost piratat în cadrul aceleiași campanii.

Țintele hackerilor nu s‑au limitat la operatorii de telefonie și internet. Potrivit mai multor relatări, Salt Typhoon a compromis rețeaua Gărzii Naționale dintr‑un stat american, ceea ce le‑a permis să fure date și să obțină acces către alte rețele din toate celelalte state americane și din mai multe teritorii.

Conform companiei de securitate Recorded Future, cercetătorii săi au observat că Salt Typhoon vizează dispozitive Cisco aparținând unor universități din Argentina, Mexic și din alte regiuni.

În același timp, guvernul canadian a confirmat că cei mai importanți operatori de telecomunicații din țară au fost atacați de China, ca parte a campaniei extinse de spionaj derulate de Salt Typhoon. Canada a mai precizat că mai multe routere Cisco aparținând unui mare operator telecom au fost sparte, cu scopul de a sustrage date din interiorul companiei.

Autoritățile de la Ottawa au avertizat că au identificat tentative de compromitere a unor companii „mai largi decât doar sectorul telecomunicațiilor”.

Compania Trend Micro a raportat activitate Salt Typhoon în Brazilia, cea mai populată țară din America de Sud.

Recorded Future a mai indicat că a observat atacuri Salt Typhoon asupra unui operator de telecomunicații din Myanmar, Mytel, prin intermediul unor routere Cisco compromise, precum și asupra unui furnizor de servicii telecom din Africa de Sud. De asemenea, au fost detectate atacuri împotriva routerelor unor universități din Bangladesh, Indonezia, Malaezia și Thailanda.

Japonia a avertizat, la rândul ei, cu privire la amenințarea pe care Salt Typhoon o reprezintă pentru propriile rețele.

Guvernele din Australia și Noua Zeelandă au anunțat că au detectat activitate Salt Typhoon în sectorul telecom și în infrastructurile lor critice. Noua Zeelandă a precizat că a observat aceiași hackeri activi și în rețelele guvernamentale, dar și în domeniile transporturi, cazare și infrastructură militară.

Trend Micro a mai transmis că a descoperit cel puțin 20 de organizații compromise, din industrii precum telecomunicații, consultanță, chimie și transport, dar și agenții guvernamentale și organizații non‑profit din mai multe țări, inclusiv Afghanistan, Eswatini, India, Taiwan și Filipine.

Guvernul britanic a confirmat că un „cluster de activitate” asociat Salt Typhoon a fost observat pe teritoriul Regatului Unit. Deși detaliile nu au fost făcute publice, relatările din presă sugerează că telefoanele unor înalți funcționari guvernamentali ar fi avut înregistrările apelurilor interceptate, iar mesajele text ar fi fost citite.

Norvegia a confirmat, de asemenea, că Salt Typhoon a reușit să spargă mai multe organizații din țară.

Autoritățile olandeze au anunțat că mai mulți furnizori mici de internet și firme de găzduire web au fost vizați, iar hackerii au obținut acces la routerele acestora, însă nu au reușit să compromită rețelele lor interne.

Un furnizor italian de servicii internet a fost și el piratat, potrivit Recorded Future.

Potrivit oficialilor cehi din domeniul securității cibernetice, incidente legate de atacurile Salt Typhoon au fost observate și în Finlanda și Polonia.