Хакерская группировка «Соляной тайфун» (Salt Typhoon) продолжает атаковать мировые телекоммуникационные сети, игнорируя международные санкции и активное освещение в СМИ. С декабря 2024 года по январь 2025 года злоумышленники активно эксплуатировали уязвимости сетевого оборудования Cisco, атакуя университеты, интернет-провайдеров и телеком-компании в США, Италии, Таиланде, ЮАР и ряде других стран. Эта кибершпионская операция уже стала одной из крупнейших в истории кибератак на американские телекоммуникации.

Источник изображения: Wesley Tingey / Unsplash

Попытки американских властей остановить деятельность Salt Typhoon не принесли ощутимого результата. Напротив, группировка, действующая, как предполагается, при поддержке госструктур Китая, не только продолжает свои атаки, но и расширяет географию вторжений, компрометируя организации в разных странах. Аналитическая компания Recorded Future подчёркивает, что злоумышленники адаптируются к мерам киберзащиты, используя проверенные методы и находя новые уязвимости в сетевой инфраструктуре.

ФБР и Агентство по кибербезопасности и защите инфраструктуры США (CISA) ещё в 2024 году заявили, что Salt Typhoon ведёт длительную кампанию взломов американских телекоммуникационных провайдеров. Хакеры активно эксплуатируют известные уязвимости, в том числе «специфичные функции» оборудования Cisco, широко используемого в отрасли связи. Основной целью атак, по мнению экспертов, является получение компрометирующей информации о высокопоставленных чиновниках США.

В декабре 2024 года крупнейшие телекоммуникационные операторы США, AT&T и Verizon, заявили, что не фиксируют активности Salt Typhoon в своих сетях. Однако исследование Recorded Future, проведённое в декабре 2024 — январе 2025 годов, показало, что злоумышленники продолжают атаки, используя уязвимости незащищённых устройств Cisco. В отчёте отмечается, что хакеры целенаправленно компрометируют телекоммуникационную инфраструктуру, ориентируясь на наиболее уязвимые узлы сети.

Среди атакованных организаций — интернет-провайдеры в США и Италии, телекоммуникационные компании в Таиланде и ЮАР, а также американский филиал одной из британских телекоммуникационных корпораций. Масштаб атак свидетельствует о системной и целенаправленной стратегии. Аналитики Insikt Group, подразделения Recorded Future, зафиксировали более 12 000 сетевых устройств Cisco, веб-интерфейсы которых оказались открытыми для доступа из интернета. По данным отчёта, хакеры Salt Typhoon пытались взломать более 1 000 из них, выбирая цели на основе их связи с телекоммуникационными сетями.

Помимо телекоммуникационных компаний, хакерские атаки затронули университеты в США, Аргентине, Бангладеше, Индонезии, Малайзии, Мексике, Нидерландах, Таиланде и Вьетнаме. Эксперты предполагают, что целью атак было получение доступа к исследованиям в областях телекоммуникаций, инженерии и высоких технологий. Среди ключевых целей группы выделяются Калифорнийский университет в Лос-Анджелесе (UCLA) и Делфтский технический университет (TU Delft).

Компрометация сетевой инфраструктуры телеком-компаний и университетов предоставляет злоумышленникам возможность перехватывать голосовые вызовы, текстовые сообщения и интернет-трафик. Recorded Future характеризует эти атаки как «стратегическую разведывательную угрозу», поскольку они позволяют не только осуществлять перехват конфиденциальной информации, но и вмешиваться в передачу данных, манипулировать информационными потоками и даже дестабилизировать работу коммуникационных систем.

Специалисты предупреждают, что телекоммуникационные компании должны незамедлительно устранять уязвимости в своих сетевых устройствах. В отчёте Recorded Future подчёркивается, что отсутствие своевременного обновления оборудования Cisco создаёт критическую брешь в безопасности, превращая эти устройства в уязвимые точки входа для хакеров. CISA и ФБР настоятельно рекомендуют переходить на использование сквозного шифрования для защиты конфиденциальной информации и минимизации рисков несанкционированного перехвата данных.

Американская технологическая компания Cisco сократит около 5600 сотрудников, что составляет 7 % от общей численности персонала. Ранее, в феврале 2024 года, компания уволила 4000 человек. По словам сотрудников, Cisco до последнего отказывалась сообщить, кого затронут сокращения, и сделала это почти с месячной задержкой, не объяснив причин. Один из работников заявил, что рабочая среда в Cisco — «самая токсичная», с которой ему приходилось сталкиваться.

Источник изображения: Cisco

В августе Cisco заявила, что вторая волна увольнений в этом году позволит компании «инвестировать в ключевые возможности роста и повысить эффективность». Одновременно компания опубликовала годовой отчёт о доходах, в котором заявила, что 2024 год стал её «вторым самым успешным годом за всю историю», указав около $54 млрд годового дохода.

Сообщается, что увольнения также затронули Talos Security, подразделение компании по анализу угроз и исследованию безопасности.

Согласно документам компании, генеральный директор Cisco Чак Роббинс (Chuck Robbins) получил около $32 млн в качестве общих компенсационных выплат руководителям в 2023 году.

Представитель Cisco отказался комментировать ситуацию и не сообщил, планирует ли руководство компании сократить свои компенсационные пакеты на фоне массовых увольнений.

Выручка компании Cisco, выпускающей оборудование для телекоммуникационного сектора, снижается уже три квартала подряд, и впервые с 2020 года по итогам текущего фискального года она столкнётся с годовым снижением выручки. В феврале Cisco уже объявляла о сокращении персонала на 5 %, а в ближайшие пару кварталов она сократит численность сотрудников ещё на 7 %.

Источник изображения: Cisco

Об этом стало известно по итогам квартального отчётного мероприятия Cisco, как отмечает ресурс CNBC. В календаре компании 27 июля завершился четвёртый квартал 2024 фискального года. Выручка за период сократилась на 10 % до $13,64 млрд, оказавшись выше ожиданий аналитиков. Годовая выручка в целом сократилась впервые с 2020 года. В наступившем фискальном квартале компания также рассчитывает на снижение выручки с $14,7 до $13,75 млрд по середине диапазона. Впрочем, поскольку аналитики рассчитывали на снижение до $13,7 млрд, собственный прогноз Cisco оказался выше их ожиданий.

На протяжении предыдущих нескольких кварталов, по словам руководства Cisco, выручка сокращалась по причине наличия у клиентов достаточных запасов оборудования этой марки, которое было закуплено ранее. Непосредственно в сегменте сетевого оборудования выручка компании в прошлом квартале просела на 28 % до $6,8 млрд, а вот в сегменте систем безопасности она выросла на 81 % до $1,8 млрд. Чистая прибыль компании за период сократилась на 45 % до $2,2 млрд в годовом сравнении.

Предстоящие сокращения персонала потребуют от Cisco списания около $1 млрд в совокупности, причём убытки в размере от $700 до $800 млн будут признаны в текущем квартале, а оставшаяся часть суммы — в течение 2025 фискального года, который уже начался. В конце 2023 фискального года штат Cisco насчитывал 84 900 человек, в феврале компания объявила о намерениях сократить 5 % сотрудников, теперь ей предстоит уменьшить численность персонала ещё на 7 %. Выход квартальной отчётности с более благоприятными прогнозами по динамике выручки вызвал рост курса акций Cisco на 5 % после закрытия торгов в США.

На следующей неделе компания Cisco объявит в ходе квартального отчёта о новом раунде сокращений персонала, в рамках которого будет уволено примерно столько же сотрудников, сколько в первой волне сокращений в феврале этого года — около 4000 человек, сообщает Reuters со ссылкой на информированные источники.

Источник изображения: Cisco

Согласно отчётности Cisco, по состоянию на июль 2023 года в компании работало около 84 900 человек. После публикации Reuters акции Cisco упали на 1 %, а с начала года их падение составило 9 %.

Являясь крупнейшим производителем сетевого оборудования, Cisco столкнулась со слабым спросом на свою продукцию и ограничениями в цепочке поставок. В связи с этим компания занялась диверсификацией бизнеса, купив за $28 млрд компанию Splunk, специализирующуюся на кибербезопасности и анализе больших данных. Сделка позволит Cisco снизить зависимость от продаж оборудования за счёт стимулирования подписной бизнес-модели. Как сообщают источники, новые увольнения связаны с тем, что компания переключает внимание на направления с более высокими темпами роста, такие как кибербезопасность и ИИ-технологии.

Компания намерена включить ИИ-решения в свои предложения, объявив в мае о поставленной цели обеспечить к 2025 году заказы на продукты ИИ на сумму $1 млрд. В июне Cisco запустила фонд на $1 млрд для инвестиций в стартапы в области ИИ, такие как Cohere, Mistral AI и Scale AI. Также Cisco тогда заявила, что за последние несколько лет приобрела 20 компаний в сфере ИИ.

Глава AMD Лиза Су (Lisa Su) и двое других членов совета директоров Cisco уведомили производителя телекоммуникационного оборудования о намерении оставить свои посты. Госпожа Су вошла в совет директоров Cisco в начале 2020 года, но с тех пор произошло множество событий, которые могли изменить обстоятельства — основной причиной ухода из совета директоров Cisco может быть конфликт интересов.

Источник изображения: amd.com

«4 октября Мишель Бёрнс (M. Michele Burns), Родерик Макгири (Roderick C. McGeary) и доктор Лиза Су (Lisa T. Su) уведомили Cisco Systems о своём решении не баллотироваться на переизбрание на ежегодном собрании акционеров Cisco в 2023 году. Госпожа Бёрнс, господин Макгири и доктор Су продолжат исполнять обязанности директоров до ежегодного собрания 2023 года», — говорится в уведомлении, которое Cisco подала в комиссию по ценным бумагам и биржам (SEC) США.

Из троих директоров Лиза Су является единственным руководителем технологической компании. Когда она вошла в совет директоров Cisco в 2020 году, AMD только начинала отвоёвывать у Intel доли на рынке серверов и ПК, и перспективы оценивались как довольно туманные. Но за три года AMD достигла многого. В 2022 году компания за $1,9 млрд поглотила Pensando — производителя DPU, которые используются в центрах обработки данных и в некоторой степени конкурируют с продукцией Cisco. А недавно AMD представила процессоры EPYC 8004 Siena для периферийных и коммуникационных серверов, что также является заходом на территорию Cisco. В итоге у доктора Су как минимум дважды всплывает конфликт интересов с производителем телекоммуникационного оборудования.

Сама глава AMD этот шаг пока не прокомментировала. И перед тем, как войти в совет директоров Cisco, она оставила аналогичный пост в Analog Devices.

Хакерская группировка BlackTech, предположительно связанная с властями Китая, осуществляет масштабные атаки на роутеры Cisco, используемые в правительственных учреждениях, СМИ, военной промышленности и других ключевых секторах США. Американские и японские агентства безопасности и правоохранительные органы бьют тревогу, так как хакеры внедряют в оборудование Cisco уязвимости, оставаясь незамеченными для системных администраторов.

Источник изображения: Cisco

Агентство национальной безопасности (АНБ), Федеральное бюро расследований (ФБР) и Агентство по кибербезопасности и защите инфраструктуры США (CISA), полиция США и Японский Национальный центр готовности к инцидентам и стратегии кибербезопасности (NISC) подготовили отчёт о деятельности этой хакерской группы, подчёркивая серьёзность и масштаб возникшей угрозы. В отчёте приводится список вредоносных программ, таких как BendyBear, Bifrose, SpiderPig и WaterBear, которые используются для атак на операционные системы Windows, Linux и даже FreeBSD.

BlackTech, также известная как Palmerworm, Temp.Overboard, Circuit Panda и Radio Panda, ведёт свою преступную деятельность с 2010 года. Эта китайская APT-группировка (Advanced Persistent Threat — англ. постоянная серьезная угроза) создаёт и использует специализированное вредоносное ПО для проникновения в сети через оборудование компании Cisco и других крупных брендов, таких как Fortinet, SonicWall и TP-Link.

Хакеры BlackTech предпочитают атаковать филиалы компаний в небольших городах, где системы защиты могут быть менее надёжными. После получения доступа к локальной сети филиалов, они подключаются к сети головных организаций. Целью группировки являются правительственный сектор, компании с госучастием, а также предприятия из сфер промышленности, информационных технологий, телекоммуникаций и электроники.

Специфика методов, которыми BlackTech получает первоначальный доступ к устройствам своих жертв, остаётся неизвестной. Это могут быть как кража учётных данных сотрудников, так и неизвестные и чрезвычайно изощрённые уязвимости нулевого дня. После проникновения киберпреступники используют интерфейс командной строки Cisco IOS (CLI) для замены легитимной прошивки маршрутизатора на скомпрометированную версию.

Всё начинается с того, что прошивка модифицируется в памяти с использованием метода «горячего патчинга». Этот этап критически важен для установки модифицированного загрузчика и изменённой прошивки. После завершения установки, модифицированная прошивка может обходить защитные механизмы маршрутизатора, активировать бэкдоры, не оставляя при этом следов в системных журналах и игнорируя ограничения, установленные списками контроля доступа (ACL).

Киберпреступники применяют различные методы сокрытия своего присутствия в сетях жертвы, включая отключение ведения логов на скомпрометированных устройствах и используют украденные сертификаты подписи кода для подписи ROM-файлов. Хакеры используют специализированные UDP- и TCP-пакеты для включения и отключения SSH-бэкдоров на роутерах Cisco в произвольные моменты времени, скрывая таким образом свою активность от системных администраторов.

Cisco усугубляет проблему, отказываясь от поддержки своего устаревшего оборудования и устранения известных уязвимостей в своих роутерах. Например, компания регулярно отказывается устранять опасные уязвимости, такие как CVE-2022-20923 и CVE-2023-20025, в своих устаревших роутерах, чей срок поддержки давно истёк. Так, весной 2023 года Cisco отказалась выпускать патч для роутеров, предназначенных для домашнего использования и малого бизнеса, в которых была найдена опасная уязвимость. Это создаёт дополнительные риски для пользователей и открывает возможности для киберпреступников.

Для выявления и блокирования вредоносных действий BlackTech компаниям и организациям настоятельно рекомендуется придерживаться оптимальных стратегий смягчения рисков. ИТ-специалистам следует блокировать исходящие соединения, используя конфигурационную команду «transport output none» к виртуальным телетайповым (VTY) линиям, а также контролировать все соединения, ограничивать доступ и вести детализированный учёт событий в системных журналах.

Согласно отчёту, опубликованному в четверг Cisco Talos при содействии некоммерческой лаборатории Citizen Lab в Канаде, шпионская программа Predator и её загрузчик Alien обладают более широкими возможностями слежки, чем предполагалось ранее. Выяснилось, что вредоносная программа может записывать голосовые звонки и звук поблизости, собирать данные Signal и WhatsApp, а также скрывать приложения или предотвращать их запуск при перезагрузке устройства.

Источник изображения: pixabay

Predator и Alien существуют как минимум с 2019 года и являются частью большого пакета, разработанного компанией Cytrox, которая теперь называется Intellexa — маркетинговое имя для целого ряда наёмных поставщиков систем наблюдения, появившихся в 2019 году. Другие компании, входящие в консорциум, включают Nexa Technologies (ранее Amesys), WiSpear/Passitora Ltd. и Senpai.

В опубликованном отчёте, в котором рассматривается версия кода для Android, Talos предполагает, что Alien — это не просто загрузчик для Predator, а что эти два компонента работают в комбинации, позволяя осуществлять все виды шпионажа и сбора разведданных на взломанных устройствах. «При совместном использовании эти компоненты обеспечивают разнообразные возможности для кражи информации, наблюдения и удалённого доступа» — говорят исследователи.

Тандем программ может тайно вести запись звука телефонных звонков и VoIP-приложений, красть данные из Signal, WhatsApp и Telegram, а также скрывать приложения или запрещать их запуск после перезагрузки устройства. Как и другие программы-шпионы, такие как Pegasus, которым для заражения устройств жертв не требуется вмешательства пользователя, Predator и Alien, согласно документам, используют уязвимости «нулевого дня» и другие баги для заражения и захвата Android-телефонов.

Talos признает, что у них нет доступа ко всем компонентам шпионской программы и что без полного изучения кода «этот список возможностей не следует считать исчерпывающим». Тем не менее, компания предполагает, что среди функций также есть отслеживание геолокации, доступ к камере и имитация выключенного телефона — всё это облегчает слежку за жертвой без её ведома.