Czy „akademia sieciowa”, która ma wyrównywać szanse, może niechcący wykształcić architektów jednej z najskuteczniejszych operacji cyberszpiegowskich dekady? Zadajmy to wprost: dwóch absolwentów programu Cisco miało później kierować firmami powiązanymi z grupą Salt Typhoon, która podsłuchiwała rozmowy amerykańskich polityków.
Badanie SentinelLabs wskazuje, że Yu Yang i Qiu Daibing – laureaci konkursu Cisco Network Academy z 2012 roku – zostali współwłaścicielami spółek wymienionych w rządowych ostrzeżeniach jako zaplecze Salt Typhoon. Ta chińska grupa, łączona z Ministerstwem Bezpieczeństwa Państwowego, włamała się do operatorów telekomunikacyjnych w USA i zdobyła dostęp do rozmów oraz SMS-ów w czasie rzeczywistym, celując w kandydatów na prezydenta i wiceprezydenta oraz ich sztaby.
To nie jest kolejna sensacja z cyklu „hakerzy z filmu”. To ilustracja większego trendu: państwowe operacje wchodzą w symbiozę z prywatnymi firmami i globalnym rynkiem talentów IT. W tle trwa walka o standardy bezpieczeństwa w złożonych, heterogenicznych sieciach telekomów, które od lat bazują na sprzęcie i protokołach wielu dostawców. A kiedy motto „education can be the ultimate equalizer” brzmi dumnie na stronie Cisco, rzeczywistość weryfikuje je okrutnie – umiejętności są neutralne, intencje już nie.
Skąd ten trop
Zaczęło się od poszlak, które złożyły się w spójny obraz. Dakota Cary, analityk SentinelOne i współpracownik Atlantic Council, prześledził kariery dwóch wyróżniających się uczestników Cisco Networking Academy Cup 2012 ze Southwest Petroleum University. Zarówno Yu, jak i Qiu, według rejestrów biznesowych, objęli kluczowe udziały w firmach Beijing Huanyu Tianqiong oraz Sichuan Zhixin Ruijie (w przypadku Yua) – oba podmioty pojawiły się w amerykańskich advisories dotyczących Salt Typhoon. Brzmi jak scenariusz? Tyle że zderza się on z konkretem: te spółki miały pełnić rolę frontów lub wykonawców działań operacyjnych. [1]
Salt Typhoon – co wiemy
O Salt Typhoon głośno zrobiło się, gdy ujawniono włamania do operatorów telekomunikacyjnych i zdolność podsłuchiwania rozmów i wiadomości SMS na żywo. Cele były wrażliwe: kandydaci w wyborach 2024, ich kluczowi współpracownicy, eksperci ds. Chin. Według badaczy kampania wykorzystywała znajomość infrastruktury operatorów – w tym produktów Cisco – oraz zależności między elementami sieci, które rzadko tworzą jednolitą, łatwą w zabezpieczeniu całość. [2]
Lekcja z Akademii
Cisco Networking Academy, uruchomiona w 1997 roku i działająca w Chinach od 1998, wypuściła w świat rzeszę specjalistów. Znakomita większość to solidni profesjonaliści. Ale właśnie tu ujawnia się dwuznaczność „otwartej” edukacji technicznej: to, co rodzi kariery adminów i architektów, może też stać się paliwem dla ofensywnych operacji. SentinelLabs sugeruje, że absolwenci wykorzystali szczegółową wiedzę o produktach i architekturze, by skuteczniej penetrować środowiska telekomów. Czy to „insiderstwo”? Raczej perfekcyjne opanowanie rzemiosła. [1]
Szerszy pejzaż: nazwy jak z prognozy pogody
Salt Typhoon nie działa w próżni. Volt Typhoon od miesięcy utrzymuje dostęp w infrastrukturze krytycznej Zachodu. Brass Typhoon rozciąga swoje sieci na firmy i rządy. Wspólny mianownik? Rozmycie granic między cyberprzestępczością, prywatnym contractingiem i operacjami wywiadowczymi. Operacje są bardziej „ekonomiczne”, ukryte i skrojone pod długą grę – od kradzieży IP po wpływanie na procesy demokratyczne.
Elekcja 2024 i konsekwencje polityczne
Wszystko to działo się na tle szerszych prób ingerencji Pekinu w wybory w USA – od propagandy i kampanii dezinformacyjnych po klasyczne szpiegostwo i podsłuchy. Salt Typhoon nie tylko zbierał dane. Daje przykład, jak przechwycone w czasie rzeczywistym komunikacje mogą zmienić dynamikę kampanii, negocjacji i reakcji bezpieczeństwa. Jeśli ktoś wie, co powiesz zanim to powiesz, ma przewagę, której nie da się łatwo zniwelować firewallami.
Gdzie kończy się odpowiedzialność
Czy Cisco ma problem? Program jest globalny, otwarty i – co do zasady – pożyteczny. Nie ma dowodów, że firma w jakikolwiek sposób wspierała nadużycia. Ale casus Salt Typhoon wyostrza pytania: jak weryfikować partnerów i konkursy, jak projektować programy szkoleniowe w reżimach autorytarnych, jak budować mechanizmy wczesnego ostrzegania o „prywatyzacji” państwowych operacji? Telekomy z kolei powinny przyjąć model „assume breach” i konsekwentnie ograniczać powierzchnię ataku. Temu służą m.in. twarda segmentacja sieci, ścisła kontrola dostępu do systemów zarządzania urządzeniami oraz ciągłe monitorowanie i reagowanie na anomalie w rdzeniu sieci. [2]
Kilka twardych faktów, bez zadęcia
- Włamania do operatorów telekomunikacyjnych w USA i zdolność przechwytywania połączeń oraz SMS-ów w czasie rzeczywistym – to rdzeń działań Salt Typhoon.
- Cele: kandydaci na prezydenta i wiceprezydenta, sztabowcy, eksperci ds. Chin.
- Dwaj kluczowi gracze wskazani przez SentinelLabs – Yu Yang i Qiu Daibing – to byli laureaci Cisco Networking Academy; później udziałowcy firm wymienionych w advisories USA jako powiązane z Salt Typhoon.
- Cisco Networking Academy działa w Chinach od 1998 r.
Ironia? Owszem, ale z gatunku tych pouczających. Hasło „edukacja to wielki wyrównywacz” jest prawdziwe – także dla graczy, którym zależy na przewadze w strefie cienia. To nie powód, by zamykać akademie. To powód, by budować odporniejsze sieci, mądrzej projektować programy szkoleniowe i przestać udawać, że „neutralny” know-how nie ma zastosowań ofensywnych.
Na koniec spokojne pytanie: jeśli globalny system kształcenia talentów IT stał się jednocześnie zapleczem dla obrony i ataku, czy potrafimy zaprojektować go tak, by bilans zysków dla otwartych społeczeństw był dodatni? Odpowiedź nie leży w sloganie. Leży w praktyce – od stricte technicznych standardów po politykę, która przestaje ignorować oczywiste ryzyka.
Źródła
- [1] https://www.wired.com/story/2-men-linked-to-chinas-salt-typhoon-hacker-group-likely-trained-in-a-cisco-academy/
- [2] https://www.itpro.com/security/cyber-attacks/researchers-claim-salt-typhoon-masterminds-learned-their-trade-at-cisco-network-academy
- [3] https://www.wired.com/story/brass-typhoon-china-cyberspies/
