ФБР оголосило винагороду в 10 мільйонів доларів за кіберзлочинців Salt Typhoon

25 квітня 2025 року Федеральне бюро розслідувань (ФБР) розширило свої зусилля в галузі контррозвідки, оголосивши винагороду до 10 мільйонів доларів за інформацію, яка допоможе виявити та притягнути до відповідальності членів хакерської групи, що підтримується державою Китаю, відомої як Salt Typhoon. Ця заява стала однією з найзначніших публічних винагород, оголошених проти державного супротивника за останні роки.

Обсяг кампанії проти телекомунікацій США

Salt Typhoon, також відома під різними псевдонімами, такими як RedMike, Ghost Emperor та UNC2286, активно діє принаймні з 2019 року. Розвідувальні служби та аналітики приватного сектору пов’язують з цією групою серію складних шпигунських операцій, спрямованих на збір метаданих телекомунікацій, записів дзвінків (CDR) та, можливо, перехоплення активних прослуховувань, які використовуються правоохоронними органами США.

• Цільові оператори: Verizon, AT&T та Lumen/CenturyLink серед щонайменше восьми постачальників послуг у США.
• Витік даних: Масове збирання журналів дзвінків, вибіркових приватних комунікацій і дублікатів матеріалів прослуховування, санкціонованих судом.
• Постійний доступ: Веб-шелли на Cisco IOS XE та мережевих пристроях на базі Linux, що використовують спеціально розроблені скрипти для підтримки доступу.

Технічний аналіз: Використані вразливості

Група Insikt компанії Recorded Future повідомляє, що операції Salt Typhoon на початку 2025 року націлювалися на маршрутизатори та брандмауери Cisco, що підключені до Інтернету, використовуючи дві відомі вразливості командного впровадження: CVE-2023-20198 (вразливість обробки трафіку HTTP/2) та CVE-2023-20273 (підвищення привілегій у підсистемі). Обидві вразливості мали публічно доступні патчі з першого кварталу 2023 року, що свідчить про недоліки в управлінні патчами серед операторів телекомунікацій.

Отримавши початковий доступ, зловмисники використали комбінацію інструментів з відкритим кодом і спеціально розроблених: модифіковані версії Mimikatz для збору облікових даних, унікальний веб-шелл “StormShell”, написаний на Go, для крос-платформеної прихованості, а також скрипти, які передають журнали через зашифровані канали на сервери C2, розташовані в Східній Європі.

Глобальний вплив та геополітичні напруження

Широта вторгнень, що охоплює десятки країн, підкреслює стратегічну роль Salt Typhoon у більшій архітектурі збору розвідданих Пекіна. За словами старшого аналітика Mandiant, “ці операції, здається, є передвісниками більших кампаній, які можуть підірвати комунікаційну інфраструктуру союзників під час майбутнього конфлікту.” США та їхні союзники обговорюють узгоджені санкції та дипломатичні заходи на форумах, таких як Організація Об’єднаних Націй та Центр передового досвіду з кооперативної кібероборони НАТО.

Експертний аналіз: Еволюція тактик і оборонна позиція

Джейн Доу, провідний дослідник загроз у CrowdStrike, зазначає, що останні кампанії Salt Typhoon демонструють перехід до тактики “жити за рахунок ресурсів”, зменшуючи залежність від нульових вразливостей і натомість використовуючи неправильні налаштування та відомі непатчовані вразливості. Ініціатива ФБР з оголошення винагороди має на меті як знизити ймовірність співпраці всередині Китаю, так і прискорити процес атрибуції, винагороджуючи за криміналістичні підказки.

Заходи з пом’якшення наслідків та оборонні стратегії

• Управління патчами: Негайне впровадження виправлень, наданих постачальниками, для CVE-2023-20198, CVE-2023-20273 та подібних вразливостей в мережевій інфраструктурі.
• Сегментація мережі: Ізолювання інтерфейсів управління від загального трафіку для запобігання бічному переміщенню.
• Проактивне полювання на загрози: Використання рішень SIEM та UEBA для виявлення аномальної активності шеллів та несанкціонованого витоку журналів.

Як безпечно надсилати підказки

Для забезпечення безпечного надсилання інформації ФБР запустило сайт .onion, доступний через Tor (перейти сюди) та спеціальну лінію Signal за номером +1-202-702-7843. Підказки також можна надсилати через офіційний портал підказок ФБР. Агентство пропонує допомогу з переселенням та захист конфіденційності для інформаторів, особливо тих, хто знаходиться в Народній Республіці Китай, де інтернет-цензура зазвичай обмежує комунікацію викривачів.