Den 4 september avslöjade(nytt fönster) New York Times detaljer om Salt Typhoon – en kinesisk statligt sponsrad hackerkampanj(nytt fönster) som i tysthet infiltrerade amerikansk företagsmjukvara som används av miljontals människor. Metoderna kommer att låta bekanta för alla inom teknik, säkerhet eller myndigheter: komprometterade routrar, stulen metadata, opatchade sårbarheter. Men omfattningen är det som gör Salt Typhoon(nytt fönster) annorlunda.
Attacken är en pågående systematisk nedmontering av den infrastruktur vår digitala värld bygger på. Men mer än så är det en varningsklocka som påminner oss om att lager av skrapade data, rutinmässiga övervakningsmetoder och statliga påtryckningar över hela världen för att försvaga kryptering(nytt fönster) sätter mer och mer av vår information på spel.
Ett globalt spionagesystem som döljer sig mitt framför ögonen
Salt Typhoon är en del av en bredare operation ledd av Kinas ministerium för statssäkerhet. Dessa aktörer har i tysthet fått åtkomst till telekom(nytt fönster), regeringsnätverk, transport, logi och militära system, inte bara i USA utan över mer än 80 länder(nytt fönster), inklusive Storbritannien, Kanada, Tyskland, Japan och andra.
Salt Typhoon kopplades till AT&T-hacket i slutet av 2024, där det avslöjades att kinesiska statliga aktörer kunde geolokalisera och spela in samtal(nytt fönster) och sms från tiotals miljoner människor i USA.
Denna senaste rapport tyder på att Salt Typhoon nu påverkar så många system att tjänstemän misstänker att det kan ha stulit information från nästan varje amerikan(nytt fönster).
Cybersecurity Advisory(nytt fönster) (CSA) – som består av flera säkerhetsorgan, inklusive NSA, CISA, FBI och internationella partners – har bekräftat att Salt Typhoon inte är en engångshändelse. Istället är det en varaktig, samordnad spionagekampanj som riktar sig mot kritisk infrastruktur globalt(nytt fönster) och matar vad rådgivningen beskriver som ett ”globalt spionagesystem”.
Vad är Salt Typhoon?
Salt Typhoon är en hackingkampanj som började 2021 och har kopplats till enheter med band till kinesiska underrättelsetjänster. Den attackerar internetinfrastruktur: ryggradsnätets routrar, kantenheter och VPN:er som telekombolag är beroende av. Den utnyttjar kända fel i vanlig utrustning från Cisco, Ivanti och Palo Alto som inte har patchats.
Väl inne riktar Salt Typhoon in sig på verktyg som redan finns i hårdvaran, vilket i princip förvandlar vanliga nätverkshanteringsoperationer till verktyg för hemlig övervakning.
Genom att dölja sig i kärninfrastrukturen har Salt Typhoon kunnat kopiera inloggningsuppgifter, register och metadata i tysthet i månader utan att dra till sig någon uppmärksamhet. CSA noterade att Salt Typhoon höll sig dolt i över 18 månader och behöll kontrollen över systemet medan de samlade in data i svårupptäckta partier.
Vad du kan göra för att hålla dig säker
Mycket av skadan från Salt Typhoon är redan skedd, men det finns steg du kan ta för att minska din risk och skydda din kommunikation. Dessa gäller oavsett om du är en privatperson, ett företag eller en större verksamhet:
- Använd krypterade tjänster: Välj end-to-end-krypterade verktyg som Signal(nytt fönster), WhatsApp(nytt fönster) eller Proton Mail.
- Håll allt uppdaterat: Patcha din telefon, bärbara dator, router och alla anslutna enheter som behöver uppdateringar.
- Slå på multifaktorsautentisering (MFA): MFA lägger till ett andra lager av försvar när du loggar in på dina konton. Det är ett universellt rekommenderat sätt att hålla dina konton säkra.
- Var försiktig med hur du delar känslig information: Håll dig till krypterade kanaler eller träffas öga mot öga. Undvik SMS för allt privat.
- Kräv ansvar av företag: Stöd istället tjänster som prioriterar säkerhet och integritet.
- Kräv ansvar av regeringar: Gör motstånd mot försök att försvaga end-to-end-kryptering och kräv starkare integritetsskydd.
End-to-end-kryptering är avgörande för säkerheten
Salt Typhoon bevisar att varje nätverkssårbarhet bara är en öppen dörr som väntar på att hittas.
End-to-end-kryptering säkerställer att även om ett nätverk är komprometterat, kanske angriparen kan samla in viss metadata, men de kan inte få åtkomst till en fil eller ett meddelandes innehåll. Utan E2EE kan en angripare som infiltrerar telekommunikationsinfrastruktur, som Salt Typhoon, övervaka konversationer och sms i realtid.
Cybersecurity and Infrastructure Security Agency (CISA) har till och med uppmanat särskilt utsatta individer – högre tjänstemän, journalister, politiska ledare – att använda end-to-end-krypterade verktyg som Signal för att skydda sig själva(nytt fönster). Samma logik gäller för alla.
Vanliga människor möter också ständiga hot, inklusive identitetsstöld, ekonomiskt bedrägeri, företagsövervakning och vanliga hackare som letar efter svaga länkar att utnyttja. Om de mäktigaste personerna i regeringen behöver end-to-end-kryptering, så gör vi andra det också.
Och detta är varför pågående ansträngningar för att undergräva kryptering – från Storbritanniens Investigatory Powers Act till Australiens Assistance and Access Act till föreslagna lagar i EU – är så farligt missriktade. Salt Typhoon visar oss exakt vad som händer när bakdörrar finns: motståndare hittar dem. Kryptering skyddar antingen alla, eller så skyddar den ingen.
Kryptering måste hålla
Säkerhet kommer alltid att vara svårt i en värld byggd på övervakning. Precis som det nyliga Salesloft Drift-intrånget, visar denna attack hur bräcklig vår infrastruktur är när företag samlar in för mycket information och misslyckas med att säkra den tillräckligt. Men system som är privata från grunden (private by design) är också säkrare från grunden, och det är den modellen vi måste röra oss mot.
Proton grundades på principen att integritet är en grundläggande mänsklig rättighet. Det är därför vi erbjuder tjänster – e-post, VPN, kalender, fillagring – alla säkrade med end-to-end-kryptering. Och det är därför vi kommer att fortsätta bekämpa varje försök att försvaga den.
