В феврале 2025 года киберпространство заметно вздрогнуло после сообщений канадских и американских правоохранительных органов о целенаправленной атаке китайской группы Salt Typhoon на одного из ведущих телекоммуникационных провайдеров Канады. По данным Центра кибербезопасности Канады и ФБР США, эта группа воспользовалась критической уязвимостью Cisco IOS XE (CVE-2023-20198), оценённой с максимальным баллом опасности CVSS 10.0, чтобы проникнуть в конфигурационные файлы нескольких сетевых устройств компании. Суть этой атаки и меры по её предотвращению представляют важный интерес для всех участников телекоммуникационного рынка и представителей ИТ-индустрии в целом. Уязвимость CVE-2023-20198, обнаруженная в операционной системе Cisco IOS XE, предоставляет злоумышленникам возможность удалённого исполнения кода без авторизации, что делает её особенно ценной для государственно спонсируемых хакерских групп, стремящихся получить долговременный доступ к сетям жертв и скрытно собирать данные.
Salt Typhoon, широко известная своими связями с китайскими спецслужбами, использовала этот баг для извлечения и модификации конфигурационных файлов, позже настроив через них GRE-туннель. Это позволило группе перехватывать и передавать сетевой трафик без ведома оператора, тем самым обеспечив перспективу длительного присутствия внутри инфраструктуры. Детали конфиденциальности, включая название конкретной жертвы, были сохранены в секрете из-за чувствительности инцидента. Однако эксперты полагают, что атака имеет гораздо более широкий масштаб и может затрагивать не только одну телекоммуникационную компанию, но и целый ряд провайдеров и инфраструктурных объектов. На практике это создает угрозу масштабного кибершпионажа, поскольку контроль над транспортными сетями позволяет просматривать, изменять или блокировать коммуникации, что критично для национальной безопасности и экономики.
Особенно тревожно то, что подобные атаки редко ограничиваются простым разведывательным доступом. Использование GRE-туннелей и изменение конфигураций говорит о подготовке последовательных атак и возможности глубокой компрометации сети. Помимо Salt Typhoon, отчёты указывают и на другие схожие методы, наблюдаемые у различных китайских киберугроз. Например, последние наблюдения от британского Центра кибербезопасности (NCSC) выявили использование вредоносного ПО под названиями SHOE RACK и UMBRELLA STAND, целящихся в устройства Fortinet FortiGate 100D — популярные в телекоммуникационном секторе. Оба инструмента позволяют злоумышленникам получать удаленный доступ и выполнять произвольные команды через заражённые устройства.
Связь этих вредоносных программ с ранее известными китайскими кампаниями, такими как COATHANGER, и общие технические приёмы указывают на скоординированную работу многочисленных групп с общим кибероружием. Столь активные атаки на инфраструктуру телекоммуникаций подчеркивают важность усиления мер защиты у поставщиков услуг связи. Одним из приоритетов является своевременное обновление микропрограмм и операционных систем сетевого оборудования. Уязвимости типа CVE-2023-20198 устраняются патчами, которые часто доступны, но по разным причинам необязательны или не устанавливаются должным образом. Бездействие в этом плане вызывает значительные риски и открывает двери для государственно спонсируемых хакеров.
Кроме технических мер, компаниям рекомендуется внедрять постоянный мониторинг сетевого трафика и аномалий, способных указывать на действия злоумышленников, как то установка GRE-туннелей или изменения в конфигурациях. Быстрая реакция на такие предупреждения позволяет минимизировать ущерб и обнаружить взломы на ранней стадии. Особенно актуальна координация между национальными агентствами кибербезопасности и частным сектором. Совместная работа позволяет выявлять угрозы на международном уровне, обмениваться информацией об атаках и разрабатывать эффективные методы противодействия. Случай с Salt Typhoon ясно демонстрирует, что современная киберугроза — это не только отдельные инциденты, но и системная проблема, требующая комплексного подхода.
Глобальная коммуникационная инфраструктура, включая телекоммуникации, становится зоной геополитической борьбы, что обязывает организации повышать уровень осведомленности и инвестировать в кибербезопасность. Также необходимо учитывать, что инструменты и техники, применяемые в таких атаках, быстро развиваются. Например, использование уже публично доступных решений с доработками для обхода защиты становится трендом. Многие китайские группы, в том числе Salt Typhoon, используют общие или взаимозаменяемые инструменты, что затрудняет их отслеживание и идентификацию. В итоге защита от подобных угроз требует не только технических усилий, но и аналитической работы для понимания поведения и мотивов атакующих.
Международное сообщество специалистов по кибербезопасности предлагает интегрированный подход к борьбе с такими атаками. Создание общего информационного пространства, обмен индикаторами компрометации и совместное реагирование существенно повышают шансы на предотвращение масштабных инцидентов. В заключение стоит подчеркнуть, что инцидент с Salt Typhoon — важный сигнал для всех операторов связи и IT-компаний по всему миру. Успех злоумышленников в использовании уязвимостей программного обеспечения Cisco демонстрирует степень угроз, с которыми сталкивается телекоммуникационная сфера, и необходимость постоянного совершенствования киберзащиты. Компании должны пересмотреть свои стратегии безопасности, усилить процессы обновления ПО и инвестировать в обучение сотрудников по вопросам киберугроз.
В условиях растущей активности государственно спонсируемых хакеров только комплексные и своевременные меры смогут обеспечить надежную защиту критической инфраструктуры и сохранность данных клиентов.
