Американское Агентство национальной безопасности, британский Национальный центр кибербезопасности и спецслужбы более чем из десяти стран заявили о масштабной хакерской операции Salt Typhoon, связанной с технологическими компаниями из КНР. К расследованию присоединились ФБР, а также союзники от Five Eyes до Финляндии, Нидерландов, Польши и Чехии.
В совместном предупреждении отмечается, что жертвами стали не менее 200 организаций в США, а общая география кампании охватила 80 стран. Руководители киберподразделения ФБР сообщили, что хакеры добивались глубинного доступа у крупных операторов связи, собирали данные о соединениях, директивах правоохранительных органов и выстраивали карту контактов и интересов спецслужб. Под удар попали представители обеих партий в США, что подчёркивает масштаб утечек.
Атаки не опирались на редкие Zero Day-уязвимости. Хакеры последовательно использовали старые бреши в популярных продуктах:

CVE-2024-21887 в Ivanti Connect Secure;
CVE-2024-3400 в PAN-OS GlobalProtect;
CVE-2023-20198 и CVE-2023-20273 в Cisco IOS XE;
CVE-2018-0171 в Cisco Smart Install.

Через эти уязвимости злоумышленники меняли ACL, запускали SSH на нестандартных портах, создавали GRE/IPsec-туннели, применяли Guest Shell для закрепления в системах, перенаправляли TACACS+ и снимали аутентификационный трафик. Для перемещений и выгрузки данных использовались самописные утилиты на Go под названиями «cmd1», «cmd3», «new2» и «sft». Хакеры взламывали устройства без привязки к владельцу, превращая чужие сети в «плацдарм» для проникновения к целям через доверенные межоператорские связи.
По данным агентств, широта поражения объясняется тем, что частные подрядчики, привлечённые к операции, самостоятельно выбирали цели. В результате пострадали не только телеком-компании, но и гостиничный бизнес, транспортные организации и другие отрасли.