Так званий «Соляний тайфун» це операція, яка фактично є однією з найтриваліших і наймасштабніших кібершпигунських кампаній сучасності. Її зазвичай пов’язують з передовою хакерською групою, пов’язаною з китайськими спецслужбами, зокрема Міністерством державної безпеки КНР, хоча Пекін офіційно заперечує свою причетність до цієї діяльності.
Сам термін «Соляний тайфун» використовують для того аби позначити складність і багатоетапність кіберактивності, а саме проєкту, який, за оцінками розвідок і провідних кіберекспертів, є частиною стратегічної програми кібершпигунства Китаю. На перший погляд це ще одна «хакерська група», яких тисячі. Але «Соляний тайфун» – не просто злочинні кіберзлочинці або кримінальні розбійники. Він належить до категорії Advanced Persistent Threat – активних стійких загроз, які не просто разово атакують, а тривало проникають, утримують доступ і збирають розвідувальні дані. На відміну від класичних кібератак, які мають короткострокову вигоду, як от викрадення даних чи вимагання, «Соляний тайфун» працює над довгостроковим спостереженням і доступом до критичних систем, починаючи від телекомунікацій, і до урядових мереж. Група діє, за оцінками аналітиків, з 2019–2020 років і поступово вибудувала складну мережу проникнень у телекомунікаційні, військові, державні та корпоративні мережі принаймні в десятках країн.
Головна ціль кампанії полягає у зборі розвідданих, які є придатними для посилення стратегічних переваг Китаю. Серед ключових аспектів:
- Кіберрозвідка в телекомах та інфраструктурі – «Соляний тайфун» відомий тим, що проникає у телекомунікаційні мережі великих операторів, де потім може перехоплювати метадані дзвінків, SMS, VoIP-зв’язок та інші дані безпеки. І ці дані, хоч і не завжди містять зміст розмов, проте надають більш ніж достатньо інформації для аналітики поведінки, контактів і стратегічних зв’язків.
- Доступ до оборонних мереж – У 2024 році Департамент внутрішньої безпеки США підтвердив, що «Соляний тайфун» безперервно залишався в мережі Армії Національної гвардії США протягом дев’яти місяців і тому отримав доступ до адміністративних облікових записів і діаграм мереж.
- Урядові структури та політичні апарати – в США та Європі були зафіксовані злами поштових систем і спроби доступу до пристроїв високопоставлених чиновників.
Згідно зі спільними попередженнями міжнародних агентств, у тому числі Агентства національної безпеки США, CISA і британського Центру національної компʼютерної безпеки, кампанія торкнулася організацій більш ніж у 80 країнах світу, у тому числі в Європі, Північній Америці та Азіатсько-Тихоокеанському регіоні. Такі масштабні проникнення це не просто загрози приватності, а комплексні картини стратегічного спостереження, які можуть в подальшому використовуватися для передбачення політичних рішень, маніпулювання інформацією або створення тиску в геополітичній грі.
«Соляний тайфун» використовує низку технік, які дозволяють їй залишатися невидимою, замість грубої сили хакери використовують заплутані, малопомітні та стійкі методи:
- Експлуатація давно відомих вразливостей у мережевому обладнанні – перш за все такому як Cisco, Palo Alto Networks, Ivanti, для початкового проникнення без необхідності використовувати нульові дні.
- «Living off the land» – мається на увазі довготривала прихована експлуатація, при якій доступ утримується роками, а зловмисники залишаються непоміченими, використовуючи легальні системні інструменти для переміщення та утримання доступу.
- Створення каналів збору даних прямо в ядрі телеком- мереж – вони отримують доступ до мережевого трафіку, метаданих, VoIP-інформації та іншої критичної інформації, що дає безпрецедентний огляд комунікацій. І разом з тим – GRE- тунелі та бекдори для прихованого зв’язку між скомпрометованими пристроями та серверами керування.
На практиці ці методи роблять кампанію не лише наднебезпечною, а й складною для виявлення та реагування, адже вони заховані прямо таки в глобальній інфраструктурі інтернету.
«Соляний тайфун» це не просто технічна проблема , це частина ширшої конфронтації між великими державами у цифровому просторі. І тут гарно віддзеркалюються амбіції Китаю в прагненні укріпити свою позицію на світовій арені, і тому збираючи розвіддані, які можуть вплинути на політичні рішення, оборону та економіку інших країн, Китай нарощує свої можливості. Багато атак «Соляного тайфуну» стали можливими не тому що група винайшла новітні «0-day» уразливості, а тому що компанії не встигали вчасно виправляти відомі проблеми у своїх системах. І хоча майже всі повідомлення стосуються західних країн, механіка подібних атак показує, що будь-який цифровий суб’єкт, від великих операторів зв’язку до муніципальних мереж, може виявитися вразливим. Глибина проникнення в інфраструктуру означає не тільки збір даних, але й потенційну можливість впливати на роботу мереж у разі загострення міжнародної напруженості. Більш того, аналіз показує, що крім безпосередніх атак, «Соляний тайфун» спирається на псевдокомерційні структури, себто фірми-«прикриття», які орендують домени, сервери та логістичні ресурси, що створює додатковий шар для приховування реального замовника операцій. Тому ця операція змушує уряди й корпорації переглядати підходи до кібербезпеки, розвивати стандарти шифрування, впроваджувати нульову довіру і інвестувати в захист критичних мереж.
Зрозуміло, що Пекін категорично заперечує свою причетність до операції «Соляний тайфун», і називає такі звинувачення політично вмотивованими і такими, що не мають достатніх доказів. Самі китайські дипломати заявляли, що подібні звинувачення є частиною інформаційної війни проти їхньої держави. І це підкреслює, що однозначне юридичне доведення державної участі, а саме Китаю, у кібератаках залишається складним. Також варто розуміти, що міжнародні суперечки у цій сфері значною мірою ведуться не лише за допомогою доказів, а й через геополітичний дискурс. Тому станом на зараз західні розвідки і кібербезпека вже оголосили про спеціальні рекомендації і спільні попередження, але це все ж лише верхівка айсберга. Масштаб і скритність «Соляного тайфуну» ставлять виклик не тільки в технічному, але й політико-дипломатичному вимірі, адже так як звинувачення на адресу Китаю супроводжуються офіційними спростуваннями Пекіна, це частково загострює і глобальну напругу в галузі інформаційної безпеки.
Операція «Соляний тайфун» – це символ нової ери кібершпигунства, ери, в якій цифрові мережі стали не лише інформаційним каналом, але й ареною для геополітичної боротьби. Це не окрема кібератака, а системна, тривала, глибоко інтегрована кампанія державного масштабу. Її справжній ефект ще належить повністю оцінити, тому що наслідки таких операцій залишаються і після виявлення, починаючи від відновлення безпеки телеком-мереж, переосмислення міжнародного співробітництва в кіберпросторі і аж до адаптації до нових реалій цифрової війни. «Соляний тайфун» продемонстрував здатність витримувати тривалі кампанії проникнення, збираючи дані, які можуть мати стратегічне значення для Центрального комітету Комуністичної партії Китаю. І все ж незважаючи на офіційні заперечення з боку Пекіна, самі масштаби і технічний рівень атак змушують уряди країн всього світу переглядати свої підходи до захисту критичної інфраструктури і створювати спільні відповіді на сучасні кіберзагрози.
Секція “Дельта” групи Інформаційний Спротив
