В современном мире информационные технологии играют ключевую роль в обеспечении безопасности и эффективности работы государственных структур. Однако именно цифровые системы становятся все более привлекательной целью для киберпреступников и государственно спонсируемых хакерских группировок. Недавний инцидент с проникновением китайской хакерской группы Salt Typhoon в сеть Армейской Национальной гвардии США стал наглядным примером таких угроз и их потенциала наносить серьёзный ущерб национальной безопасности. Salt Typhoon – это китайская кибершпионская группа, которая, по данным экспертов, связана с Министерством государственной безопасности Китая. За последние годы Salt Typhoon приобрела печальную известность благодаря серии масштабных атак на телекоммуникационные компании и другие критически важные инфраструктуры по всему миру.
В числе их жертв оказались такие гиганты как AT&T, Verizon, Lumen, Charter, Windstream и Viasat. Целью нападений часто становилась кража конфиденциальных данных, включая телефонные логи, частные сообщения и системы прослушки, используемые правительственными агентствами США. Основная угроза заключалась в том, что Salt Typhoon смогла незаметно находиться в сети Национальной гвардии США в течение девяти месяцев в 2024 году. Взлом произошел в одном из штатов, причем хакеры получили доступ к важным файлам, в том числе к конфигурационным диаграммам сети, конфигурационным файлам и администраторским учетным записям. Эти данные не просто представляют коммерческую ценность, но и могут использоваться для дальнейшего проникновения в сети других государственных учреждений и служб безопасности в разных штатах и американских территориях.
Конфигурационные файлы сети содержат в себе важные сведения о настройках маршрутизаторов, файрволлов и VPN-шлюзов, а также включают учетные данные и профили безопасности. Благодаря такой информации злоумышленники могут идентифицировать внутренние пути доступа, которые обычно закрыты для внешнего интернета, и использовать их в своих интересах, чтобы продолжать атаки и расширять контроль над критическими системами. Анализ уязвимостей, эксплуатируемых Salt Typhoon, указывает на то, что одним из ключевых методов взлома стали старые и неустранённые уязвимости в сетевых устройствах, прежде всего в роутерах Cisco. Среди наиболее опасных из них можно выделить CVE-2018-0171 – критическую уязвимость в Cisco IOS и IOS XE Smart Install, позволяющую выполнять удаленное выполнение кода через специально подготовленные TCP-пакеты. Также значительную опасность представляют CVE-2023-20198 и CVE-2023-20273, связанные с обходом аутентификации и повышением привилегий на устройствах Cisco IOS XE.
Не меньше опасности представляет недавно выявленная уязвимость CVE-2024-3400 в системе Palo Alto Networks PAN-OS GlobalProtect, которая позволяет выполнять инъекции команд на устройствах без предварительной аутентификации. Эти уязвимости, если они не исправлены своевременно, создают критические бреши в системах защиты государственных структур. Помимо технических аспектов атаки, интересен и сам процесс воздействия группы Salt Typhoon на инфраструктуру. Злоумышленники не просто украли данные и удалились, они систематически исследовали сеть, собирали информацию о связях между различными элементами сети и способах обмена данными как внутри штата, так и с другими штатами и территориями. Такой подход дает им масштабные возможности для последующего внедрения вредоносного программного обеспечения и проведения сложных кибератак.
Важным элементом их деятельности стало использование специализированных вредоносных программ, известных под названиями JumblePath и GhostSpider. Они предназначены для перехвата и мониторинга телекоммуникационных сетей, что подтверждает основную стратегическую цель Salt Typhoon – доступ к коммуникациям, важным для национальной безопасности и политической стабильности. Департамент внутренней безопасности США в своем меморандуме рекомендовал государственным и военным структурам провести аудит своих систем, убедиться в обновлении и устранении описанных уязвимостей, а также применить комплексные меры безопасности. В их числе – отключение неиспользуемых сервисов, изоляция SMB-трафика, внедрение механизма подписания SMB-пакетов и усиление контроля доступа к критическим сетевым ресурсам. Только так удастся минимизировать вероятность повторения подобных атак.
Интересно отметить, что после сообщения о взломе Национальной гвардии США китайская сторона воздержалась от прямого признания обвинений, подчеркивая отсутствие «убедительных и надежных доказательств» причастности группы Salt Typhoon к правительству Китая. Такая позиция является традиционной для подобных международных инцидентов и отражает сложность процесса attribution (определения источника атаки). Невозможность полностью предотвратить атаки и быстро обнаружить злоумышленников вызывает обеспокоенность у экспертов по безопасности. Salt Typhoon была активна не только в отношении Национальной гвардии, но и других государственных агентств, а также предприятий из различных секторов критической инфраструктуры. Кража более тысячи конфигурационных файлов с семидесяти организаций через два года может привести к каскадным последствиям, если эти данные попадут в руки злоумышленников и будут использованы в дальнейших атаках.
Анализ инцидента позволяет сделать вывод о том, что кибербезопасность государственных учреждений США требует значительного улучшения. В первую очередь это касается своевременного обновления сетевого оборудования и внедрения продвинутых систем мониторинга и обнаружения вторжений. Несмотря на наличие современных технологий, человеческий фактор и административные просчеты часто приводят к возникновению уязвимостей. Особую роль играет сотрудничество между государственными и частными организациями, особенно телекоммуникационными компаниями. Salt Typhoon не раз демонстрировала, что при атаке на телекоммуникации она могла получить доступ к информации, имеющей важное политическое значение, и использовать эти данные для давления на США и их союзников.
