Китайская хакерская группа Salt Typhoon: угроза глобальным телекоммуникациям под прикрытием частных компаний

Группа кибершпионажа Salt Typhoon представляет собой серьезную угрозу для глобальной телекоммуникационной инфраструктуры. Активность группы, отслеживаемая с 2019 года, демонстрирует высокий уровень профессионализма в эксплуатации сетевых периферийных устройств, обеспечении длительного скрытного присутствия и сборе конфиденциальных данных. Целями Salt Typhoon становятся телекоммуникационные провайдеры и смежные секторы критической инфраструктуры по всему миру, включая США, Великобританию, страны ЕС и Тайвань.

Описание

Особенностью Salt Typhoon является гибридная модель операций, сочетающая прямое управление со стороны MSS с поддержкой псевдочастных подрядчиков. Такие компании, как i-SOON (Anxun Information Technology Co., Ltd.), Sichuan Juxinhe Network Technology, Beijing Huanyu Tianqiong Information Technology и Sichuan Zhixin Ruijie Network Technology, предоставляют инструменты и инфраструктуру. Эта модель была подробно раскрыта в утечке данных i-SOON в 2024 году и подтверждена обвинительными актами Министерства юстиции США и санкциями Министерства финансов в 2025 году.

Операции группы носят целенаправленный характер и нацелены на сбор сигнальной разведки (SIGINT). С 2022 по 2024 год Salt Typhoon успешно провела серию вторжений в сети крупнейших американских телеком-операторов, включая AT&T, Verizon и T-Mobile. Целью атак стали метаданные абонентов, записи детализации звонков, конфигурации VoIP-инфраструктуры и журналы систем законного перехвата. Параллельно группа compromiseровала сети Национальной гвардии нескольких штатов США, получив доступ к сетевым схемам, конфигурациям VPN и документам по реагированию на инциденты. В Европе объектами атак стали малые и средние интернет-провайдеры в Нидерландах, Германии и Франции, где злоумышленники внедряли специализированные вредоносные программы в прошивки маршрутизаторов для обеспечения долгосрочного доступа.

Тактики группы демонстрируют высокую изощренность. Salt Typhoon активно использует уязвимости нулевого дня в сетевых периферийных устройствах, таких как маршрутизаторы, межсетевые экраны и VPN-шлюзы. Для поддержания присутствия применяются техники жизни за счет земли (Living-off-the-Land Binaries, LOLBins), что затрудняет обнаружение. Уникальной чертой является масштабное использование доменной инфраструктуры, регистрируемой на поддельные американские личности. Анализ показал, что с 2020 по 2025 год группа зарегистрировала не менее 45 доменов, используя вымышленные имена, такие как Monica Burch или Shawn Francis, и адреса в городах вроде Майами или Лос-Анджелеса. Для регистрации consistently использовались почтовые сервисы ProtonMail, а для SSL-сертификатов предпочтение отдавалось коммерческим центрам сертификации вроде GoDaddy и Sectigo, что повышало видимость инфраструктуры как легитимной.

Стратегическое значение Salt Typhoon выходит за рамки традиционного шпионажа. Внедряя скрытые средства контроля в критическую телекоммуникационную инфраструктуру, группа создает потенциал не только для сбора разведданных, но и для потенциального нарушения работы связи в период геополитических кризисов. Это указывает на двойной характер угрозы: повседневный шпионаж в сочетании с подготовкой киберпространства к возможным конфликтам.