Čína hackla několik velkých poskytovatelů internetových služeb v USA, aby se dostala k odposlechům

Pavel Trousil 08.10.2024

Několik amerických poskytovatelů širokopásmového připojení, včetně Verizon, AT&T a Lumen Technologies, bylo napadeno čínskou hackerskou skupinou označovanou jako Salt Typhoon, uvádí Wall Street Journal. Cílem byla patrně odposlouchávací platforma americké vlády.

Podle zprávy Wall Street Journal (WSJ) provedla sofistikovaná čínská hackerská skupina rozsáhlý kybernetický útok na významné americké poskytovatele internetových služeb. Útok, který byl odhalen v posledních týdnech, pravděpodobně trval několik měsíců nebo i déle.

Cíle a dopad útoku

Hackeři, známí pod kódovým označením "Salt Typhoon", se zaměřili na sběr zpravodajských informací. Experti se domnívají, že mohli získat přístup k systémům používaným americkou federální vládou pro soudně povolené odposlouchávání.
Útočníci pravděpodobně zachytili obrovské množství internetového provozu od poskytovatelů služeb, jejichž zákazníky jsou jak velké, tak malé firmy a miliony Američanů. Přesný rozsah a typ zachycených a odcizených dat je stále předmětem vyšetřování.

Mohlo by vás zajímat

Kill switch: ASML umí v případě napadení Taiwanu na dálku vypnout stroje na výrobu čipů

Novinky

Kdo stojí za útokem?

Skupina "Salt Typhoon" je sledována různými bezpečnostními společnostmi pod různými názvy:

Earth Estries (Trend Micro)
FamousSparrow (ESET)
Ghost Emperor (Kaspersky)
UNC2286 (Mandiant, nyní součást Google Cloud)

Tato hackerská skupina je aktivní od roku 2019 a je považována za velmi nebezpečnou. Její útoky se obvykle zaměřují na vládní entity a telekomunikační společnosti, především v jihovýchodní Asii.

Mohlo by vás zajímat

Co dělá váš telefon, když spíte? Odesílá data i do Ruska a Číny

Bezpečnost

Metody útoku

Hackeři obvykle získávají prvotní přístup k cílové síti využitím zranitelností, jako jsou například ProxyLogon zranitelnosti v Microsoft Exchange Serveru. V předchozích útocích skupina používala vlastní backdoor nazvaný SparrowDoor, upravené verze nástroje Mimikatz pro extrakci autentizačních dat a rootkit pro jádro Windows nazvaný Demodex.

Vyšetřovatelé stále zkoumají, jakou metodu útočníci použili pro získání prvotního přístupu v tomto případě. Jednou z možností, kterou zkoumají, je získání přístupu k routerům Cisco zodpovědným za směrování internetového provozu.

Mohlo by vás zajímat

Čínský botnet Raptor Train: útočilo 260 000 nakažených routerů a IP kamer

Bezpečnost

Tento útok není ojedinělý. Čínské APT hackerské skupiny v poslední době stále častěji cílí na síťová zařízení a poskytovatele internetových služeb v USA a Evropě v rámci kybernetické špionáže. Například v září bezpečnostní výzkumníci a orgány činné v trestním řízení narušili masivní čínský botnet nazvaný "Raptor Train", který kompromitoval více než 260 000 SOHO routerů a IP kamer malwarem.

Zdroj: WSJ, Bleeding Computer, Security Week