Китайские хакеры взломали Национальную гвардию США в крупной кибератаке

Конфиденциальная записка из Министерства внутренней безопасности (DHS) раскрывает, что компьютерная сеть Национальной гвардии армии одного из штатов США была взломана группой хакеров, связанной с китайским государством, известной как «Соль Тайфун».

Записка, впервые опубликованная NBC, была получена через запрос по Закону о свободе информации (FOIA), поданный некоммерческой организацией по прозрачности национальной безопасности, Property of the People.

В ней также говорится, что хакеры «широко скомпрометировали сеть Национальной гвардии армии одного из штатов США» в течение девяти месяцев, с марта по декабрь 2024 года, и оставались незамеченными. Этот взлом стал одной из крупнейших кибершпионских кампаний против американской военной инфраструктуры в последнее время.

Что такое Соль Тайфун

Соль Тайфун — это актор продвинутой постоянной угрозы (APT), который, как считается, управляется разведывательным агентством Министерства государственной безопасности Китая (MSS). Он известен проведением высокопрофильных кибершпионских кампаний, особенно против Соединенных Штатов. Хакерская группа сосредоточена на сборе разведывательной информации и получении постоянного доступа к сетям в различных секторах, таких как оборона, энергетика и связи.

Что было раскрыто в результате взлома

С марта по декабрь 2024 года хакерская группа эксфильтровала внутренние карты и схемы сетевого трафика, описывающие потоки связи между подразделениями Национальной гвардии по всем 50 штатам и четырем территориям США.

Она также украла учетные данные администраторов и 1,462 файла конфигурации сети с доступом к 70 государственным и критически важным инфраструктурным объектам США, охватывающим 12 секторов, включая энергетику, связь, транспорт, водоснабжение и водоотведение, которые могли быть использованы для взлома сетей Национальной гвардии и правительства в других штатах.

Кроме того, личная идентифицирующая информация (PII) военнослужащих и местоположения сотрудников кибербезопасности штатов также были затронуты.

«С марта по декабрь 2024 года Соль Тайфун широко скомпрометировал сеть Национальной гвардии армии США и, среди прочего, собрал ее конфигурацию сети и данные трафика с сетями ее аналогов в каждом другом штате США и как минимум на четырех территориях США, согласно отчету Пентагона», — говорится в записке.

«Эти данные также включали учетные данные администраторов этих сетей и схемы сети, которые могли быть использованы для облегчения последующих взломов Соль Тайфун этих подразделений».

Согласно записке, Соль Тайфун имеет историю использования украденных топологий сети и данных конфигурации для взлома государственных учреждений США и систем критической инфраструктуры.

«Соль Тайфун ранее использовал эксфильтрованные файлы конфигурации сети для осуществления кибервторжений в других местах. С января по март 2024 года Соль Тайфун эксфильтровал файлы конфигурации, связанные с другими государственными учреждениями США и объектами критической инфраструктуры, включая как минимум два государственных агентства США. Как минимум один из этих файлов позже стал причиной компрометации уязвимого устройства в сети другого государственного агентства США», — добавила записка.

Почему это важно

Соль Тайфун не нов — он ранее взламывал крупные телекоммуникационные компании США, включая AT&T, Verizon и T-Mobile, преимущественно через уязвимость Cisco, а также спутниковые системы, такие как Viasat, и других поставщиков услуг как в США, так и за рубежом.

Реакция и ответ правительства

Бюро Национальной гвардии подтвердило взлом, но настаивает, что миссии не были нарушены. Ведется расследование для оценки полного объема вторжения.

«Хотя мы не можем предоставить конкретные детали о нападении или нашем ответе на него, мы можем сказать, что это нападение не помешало Национальной гвардии выполнять назначенные государственные или федеральные миссии, и что НГБ продолжает расследовать вторжение, чтобы определить его полный масштаб», — сказал представитель Бюро Национальной гвардии.

Кроме того, CISA, DHS и Пентагон координируют усилия по сдерживанию взлома и рассматривают возможность усиления мер безопасности, включая более мощные брандмауэры, улучшенное шифрование, более строгий контроль доступа и более широкую реализацию архитектуры Zero Trust.

Тем временем, представитель посольства Китая в Вашингтоне не отрицал кибератаку, но утверждал, что США не представили конкретных доказательств, связывающих Китай с кибератаками Соль Тайфун.

«Кибератаки являются общей угрозой, с которой сталкиваются все страны, включая Китай», — сказал представитель, добавив, что США «не смогли представить убедительные и надежные доказательства того, что ‘Соль Тайфун’ связан с китайским правительством».