Canada stă cu ochii în patru: O grupare de hackeri sprijinită de chinezi, suspectată de atacuri cibernetice asupra rețelelor de telecomunicații

Centrul Canadian pentru Securitate Cibernetică și Biroul Federal de Investigații al SUA (FBI) au emis o avertizare importantă privind activitățile cibernetice continue ale grupului Salt Typhoon, asociat cu operațiuni sponsorizate de statul chinez. Date oficiale confirmă că în prezent companiile canadiene de telecomunicații sunt ținte directe ale acestor atacuri.

Atacuri confirmate asupra infrastructurii telecom canadiene

În luna februarie 2025, cel puțin trei dispozitive de rețea aparținând unui furnizor de telecomunicații din Canada au fost compromise, scrie IndustrialCyber.  Atacatorii, aproape sigur conectați cu Republica Populară Chineză (RPC), au exploatat vulnerabilitatea CVE-2023-20198 pentru a extrage fișierele de configurare active ale echipamentelor. Ulterior, au modificat cel puțin un fișier pentru a crea un tunel GRE, permițând astfel interceptarea traficului de rețea.

O campanie cu impact mult mai larg

Investigațiile separate ale Centrului Canadian au identificat indicii care sugerează că această campanie de atacuri nu se limitează doar la sectorul telecomunicațiilor.

UE riscă un blocaj major în tranziția energetică: Curtea de Conturi Europeană avertizează asupra deficitului de materii prime critice până în 2030

21:46

Studiu BNR: Fără PNRR, economia României ar fi crescut semnificativ mai lent între 2022 și 2024

21:34

„În investigații distincte, Centrul a găsit suprapuneri cu indicatori rău intenționați asociați cu Salt Typhoon, raportați de partenerii noștri și prin intermediul industriei, ceea ce indică faptul că țintirea este mai amplă decât sectorul telecomunicațiilor,” se arată în buletinul de amenințări cibernetice.

Acesta avertizează că accesul la dispozitivele canadiene poate permite actorilor rău intenționați să colecteze informații din rețelele interne ale victimelor sau să folosească aceste dispozitive pentru a compromite alte ținte. În unele cazuri, activitățile atacatorilor au fost probabil limitate la recunoaștere de rețea.

Continuarea atacurilor în următorii ani

„Deși înțelegerea noastră asupra acestor activități evoluează, apreciem că actorii cibernetici ai RPC vor continua aproape sigur să vizeze organizațiile canadiene în cadrul acestei campanii de spionaj, inclusiv furnizorii de servicii telecom și clienții acestora, pe parcursul următorilor doi ani,” avertizează autoritățile.

Riscuri majore pentru informațiile sensibile ale clienților

Agențiile de securitate și-au exprimat îngrijorarea privind impactul potențial asupra informațiilor sensibile ale organizațiilor care colaborează direct cu furnizorii de telecomunicații. Actorii cibernetici sponsorizati de statul chinez încearcă frecvent să compromită furnizorii de servicii de încredere, inclusiv telecomunicații, furnizori de servicii gestionate (MSP) și furnizori de servicii cloud, pentru a accesa indirect datele sau rețelele clienților.

Telecomunicațiile, ținta principală a spionajului cibernetic de stat

Buletinul subliniază că rețelele telecomunicațiilor sunt probabil printre cele mai importante ținte de spionaj pentru actorii cibernetici sponsorizati de state. Aceștia se bazează pe accesul la furnizorii de servicii telecom și la rețelele acestora din întreaga lume pentru a colecta informații externe. Furnizorii transportă traficul telecom și stochează cantități mari de date ale clienților, inclusiv date de comunicare, localizare și dispozitive, toate având valoare informațională.

„Actorii cibernetici sponsorizati de stat au compromis persistent furnizorii de servicii telecom la nivel global, adesea ca parte a unor programe largi și de durată pentru a extrage date masive ale clienților și pentru a colecta informații despre ținte de mare valoare, cum ar fi oficiali guvernamentali,” se arată în raport. „Aceasta include localizarea și urmărirea persoanelor, monitorizarea apelurilor telefonice și interceptarea mesajelor SMS. Actorii au obținut acces la rețelele și datele telecomunicațiilor exploatând vulnerabilități în dispozitivele de rețea, precum routerele, și profitând de designul nesigur al sistemelor care gestionează rutarea, facturarea și comunicarea.”

Descoperiri din 2024 confirmă amploarea spionajului

În 2024, investigații partenere au dezvăluit că actorii cibernetici sponsorizati de RPC au compromis rețelele unor mari furnizori globali de servicii telecom, inclusiv operatori wireless din SUA, probabil ca parte a unei operațiuni țintite de spionaj. Aceștia au reușit să fure date privind înregistrările apelurilor clienților și să colecteze comunicații private ale unor persoane implicate în activități guvernamentale sau politice.

Vulnerabilități exploatate la nivelul dispozitivelor de rețea

Conform Evaluării Naționale a Amenințărilor Cibernetice 2025-2026,

„actorii cibernetici exploatează vulnerabilități în dispozitivele de securitate și rețea situate la periferia rețelelor, inclusiv routere, firewall-uri și soluții VPN. Prin compromiterea acestor dispozitive, un atacator poate intra în rețea, monitoriza, modifica și extrage traficul de date care trece prin ele sau poate avansa mai adânc în rețeaua victimei.”

În cadrul campaniei, actorii RPC țintesc aceste dispozitive de rețea, exploatând vulnerabilitățile existente pentru a obține și menține accesul la furnizorii de servicii telecom. Deși activitățile lor sunt cunoscute public, este foarte probabil că acestea continuă.

Recomandări pentru contracararea amenințării

Pentru a contracara acest pericol, autoritățile canadiene îndeamnă organizațiile să-și întărească securitatea rețelelor și să aplice măsuri stricte de protecție pentru dispozitivele periferice. De asemenea, recomandă consultarea resurselor oficiale online pentru ghiduri și recomandări practice.

Apelul public al FBI din aprilie

În aprilie, FBI a solicitat sprijinul publicului pentru a raporta informații legate de activitățile cibernetice asociate RPC-ului, cunoscute sub numele de „Salt Typhoon”, care implică compromiterea mai multor companii telecom din SUA. Anunțul, transmis prin Centrul de Reclamații pentru Infracțiuni pe Internet (IC3), caută detalii, în special despre persoane legate de această campanie.