Хакерская группировка, имеющая связь с Коммунистической партией Китая, вторглась в сети нескольких интернет-провайдеров США в рамках кибер-шпионской кампании с целью получения конфиденциальной информации. Об этом сегодня, 26 сентября, сообщила газета The Wall Street Journal.
Зарегистрированная вредоносная активность связана с группировкой Salt Typhoon, также известной как FamousSparrow и GhostEmperor. По информации издания, следователи выясняют, смогли ли злоумышленники получить доступ к маршрутизаторам Cisco Systems — важным сетевым компонентам, через которые проходит значительная часть интернет-трафика.
Цель атак — получить постоянный доступ к сетям жертв, что позволит хакерам не только собирать конфиденциальную информацию, но и в будущем совершать разрушительные кибератаки.
GhostEmperor стала известна в октябре 2021 года, когда эксперты из «Лаборатории Касперского» обнаружили долгосрочную операцию группы в Юго-Восточной Азии. Хакеры использовали вредоносное ПО Demodex для компрометации целей в Малайзии, Таиланде, Вьетнаме, Индонезии, а также в Египте, Эфиопии и Афганистане.
В июле 2024 года компания Sygnia сообщила, что один из её клиентов пострадал от действий этой группы в 2023 году. Хакерам удалось проникнуть в сети бизнес-партнёра жертвы, где были обнаружены скомпрометированные серверы, рабочие станции и учётные записи, а также инструменты для связи с управляющими серверами. Одним из таких инструментов оказался новый вариант Demodex.
Инцидент произошёл вскоре после того, как правительство США существенно нарушило работу ботнета Raptor Train, состоящего из 260 тысяч устройств. Этим ботнетом управляет другая китайская хакерская группа — Flax Typhoon.
Случай с GhostEmperor, очевидно, является очередной попыткой китайских государственных хакеров атаковать телекоммуникационные компании, интернет-провайдеров и другие ключевые инфраструктурные объекты в США и других странах.
