Курсы Cisco: «Наши двери открыты для всех». Хакеры из Китая: «Спасибо, мы уже внутри»
NewsMakerДвое фигурантов, связанных с хакерами Salt Typhoon, могли пройти обучение в академии Cisco — той самой компании, чьи устройства они позже взламывали.
Двое китайских специалистов, связанных с хакерской группировкой Salt Typhoon , могли пройти обучение в программе Cisco Networking Academy — корпоративном учебном проекте самой компании, чьи устройства эта группировка позже массово взломала. К такому выводу пришёл исследователь компании SentinelOne и аналитического центра Atlantic Council Дакота Кэри, изучив открытые данные о связях подозреваемых с компаниями, фигурирующими в расследовании властей США.
Cisco Networking Academy — глобальная образовательная программа, которая уже почти три десятилетия обучает студентов базовым навыкам сетевых технологий и кибербезопасности. На сайте инициативы компания подчёркивает, что считает образование «великим уравнителем», позволяющим любому человеку, независимо от происхождения, освоить цифровые компетенции и «сформировать свою судьбу». Эта миссия выглядит куда двусмысленнее, если верить выводам Кэри: часть выпускников могла использовать полученные знания не для защиты сетей, а для участия в одной из самых масштабных шпионских кампаний, приписываемых китайским государственным хакерам .
Речь идёт о группировке Salt Typhoon — кибершпионском подразделении, которое, по данным властей США, стояло за взломом по меньшей мере девяти телеком-операторов. Хакеры получили возможность в реальном времени отслеживать звонки и SMS американских абонентов, в том числе тогдашних кандидатов в президенты и вице-президенты США Дональда Трампа и Джей Ди Вэнса, а также других политиков. Salt Typhoon известна своей специализацией на взломе сетевого оборудования, включая устройства Cisco, крупнейшего производителя сетевой техники в мире. Американские ведомства ранее предупреждали, что группировка активно эксплуатировала уязвимости в продуктах Cisco, чтобы красть учётные данные и незаметно перемещаться внутри сетей без установки классического вредоносного ПО, которое проще обнаружить средствами защиты.
Кэри решил выяснить, кто стоит за компаниями-подрядчиками, которые власти США уже публично связали с инфраструктурой Salt Typhoon. В сентябре Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) совместно с ФБР, АНБ и партнёрами из десятка стран выпустило рекомендацию, в которой назвало три аффилированные с группой компании: Sichuan Juxinhe Network Technology, Beijing Huanyu Tianqiong Information Technology и Sichuan Zhixin Ruijie Network Technology. Исследователь поднял корпоративные реестры и увидел, что компания Beijing Huanyu Tianqiong на 45 % принадлежит некоему Цю Дайбину, а на 55 % — Ю Ян. Кроме того, Ю владеет половиной доли в Sichuan Zhixin Ruijie. Совместные патентные заявки Цю и Ю показывают, что они, вероятно, вовлечены не только в управление, но и в техническую работу этих фирм.
Двое китайских специалистов, связанных с хакерской группировкой Salt Typhoon , могли пройти обучение в программе Cisco Networking Academy — корпоративном учебном проекте самой компании, чьи устройства эта группировка позже массово взломала. К такому выводу пришёл исследователь компании SentinelOne и аналитического центра Atlantic Council Дакота Кэри, изучив открытые данные о связях подозреваемых с компаниями, фигурирующими в расследовании властей США.
Cisco Networking Academy — глобальная образовательная программа, которая уже почти три десятилетия обучает студентов базовым навыкам сетевых технологий и кибербезопасности. На сайте инициативы компания подчёркивает, что считает образование «великим уравнителем», позволяющим любому человеку, независимо от происхождения, освоить цифровые компетенции и «сформировать свою судьбу». Эта миссия выглядит куда двусмысленнее, если верить выводам Кэри: часть выпускников могла использовать полученные знания не для защиты сетей, а для участия в одной из самых масштабных шпионских кампаний, приписываемых китайским государственным хакерам .
Речь идёт о группировке Salt Typhoon — кибершпионском подразделении, которое, по данным властей США, стояло за взломом по меньшей мере девяти телеком-операторов. Хакеры получили возможность в реальном времени отслеживать звонки и SMS американских абонентов, в том числе тогдашних кандидатов в президенты и вице-президенты США Дональда Трампа и Джей Ди Вэнса, а также других политиков. Salt Typhoon известна своей специализацией на взломе сетевого оборудования, включая устройства Cisco, крупнейшего производителя сетевой техники в мире. Американские ведомства ранее предупреждали, что группировка активно эксплуатировала уязвимости в продуктах Cisco, чтобы красть учётные данные и незаметно перемещаться внутри сетей без установки классического вредоносного ПО, которое проще обнаружить средствами защиты.
Кэри решил выяснить, кто стоит за компаниями-подрядчиками, которые власти США уже публично связали с инфраструктурой Salt Typhoon. В сентябре Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) совместно с ФБР, АНБ и партнёрами из десятка стран выпустило рекомендацию, в которой назвало три аффилированные с группой компании: Sichuan Juxinhe Network Technology, Beijing Huanyu Tianqiong Information Technology и Sichuan Zhixin Ruijie Network Technology. Исследователь поднял корпоративные реестры и увидел, что компания Beijing Huanyu Tianqiong на 45 % принадлежит некоему Цю Дайбину, а на 55 % — Ю Ян. Кроме того, Ю владеет половиной доли в Sichuan Zhixin Ruijie. Совместные патентные заявки Цю и Ю показывают, что они, вероятно, вовлечены не только в управление, но и в техническую работу этих фирм.