Китайская группа Salt Typhoon взломала канадского телеком-оператора через уязвимость в Cisco

Канадский Центр кибербезопасности подтвердил: хакеры из китайской госгруппировки Salt Typhoon получили доступ к сети одного из телекоммуникационных операторов страны. Инцидент произошел в феврале 2025 года — спустя более года после того, как критическая уязвимость CVE-2023-20198 в Cisco IOS XE была впервые раскрыта.

Salt Typhoon воспользовались этой «дыру» в защите, чтобы удаленно создать учетные записи с правами администратора. На трёх сетевых устройствах канадской телеком-компании злоумышленники скачали конфигурационные файлы, а затем изменили один из них, настроив GRE-туннель — механизм, позволяющий перехватывать сетевой трафик.

По данным канадских спецслужб, подозрительная активность группировки наблюдается в стране как минимум с октября 2024 года, когда Salt Typhoon атаковала несколько американских провайдеров. Тогда предупреждения о возможной разведывательной активности прозвучали вовремя, однако часть канадских операторов не приняла необходимых мер защиты. В результате — успешная атака на критическую инфраструктуру.

Как подчеркивает BleepingComputer, деятельность Salt Typhoon выходит за рамки одного сектора: кроме телеком-компаний, в зону риска попадают облачные провайдеры, MSP-сервисы и даже политические учреждения. Их основная цель — данные о звонках, местоположении абонентов, содержании SMS и служебной переписке.

Несмотря на то, что многие атаки ограничиваются разведкой, полученные таким способом данные позволяют проводить сложные атаки на цепочки поставок. Канадский Центр кибербезопасности предупредил: такие атаки с высокой долей вероятности будут продолжаться в ближайшие два года. Операторам критической инфраструктуры рекомендовано немедленно усилить защиту пограничных устройств.