Hakerzy wspierani przez Pekin dostali się do sieci infrastruktury krytycznej USA, w tym dostawców wody, energii i transportu – potwierdzają amerykańscy urzędnicy. To daje Chińczykom możliwość przeprowadzenia potencjalnie destrukcyjnych cyberataków w przypadku konfliktu między Chinami a Stanami Zjednoczonymi, na przykład w związku z możliwą chińską inwazją na Tajwan – ostrzega portal TechCrunch.
Chiny stawiają na hakerów
„Chińscy hakerzy pozycjonują się na amerykańskiej infrastrukturze, przygotowując się do siania spustoszenia i wyrządzania rzeczywistych szkód amerykańskim obywatelom i społecznościom, jeśli lub kiedy Chiny zdecydują, że nadszedł czas, aby uderzyć” – powiedział dyrektor FBI Christopher Wray na początku tego roku.
USA: Grupy Typhoon cyberzagrożeniem
Od tego czasu rząd USA i jego sojusznicy podjęli działania przeciwko chińskim grupom hakerskim Typhoon. Opublikowano nowe szczegóły dotyczące zagrożeń, jakie stanowią.
W styczniu Stany Zjednoczone zlikwidowały grupę chińskich hakerów o nazwie Volt Typhoon, której zadaniem było przygotowywanie destrukcyjnych cyberataków. We wrześniu federalni przejęli botnet prowadzony przez inną chińską grupę hakerską o nazwie Flax Typhoon, która podszywa się pod prywatną firmę w Pekinie i której rolą była pomoc w ukrywaniu działalności chińskich hakerów rządowych. Od tego czasu pojawiła się nowa wspierana przez Chiny grupa hakerska o nazwie Salt Typhoon, gromadząca dane wywiadowcze na temat Amerykanów – i potencjalnych celów amerykańskiej inwigilacji. Co wiadomo o grupach hakerów przygotowujących się do wojny?
Volt Typhoon
Volt Typhoon reprezentuje nową klasę wspieranych przez Chiny grup hakerskich. Nie tylko mają na celu kradzież poufnych tajemnic USA, ale też przygotowują się do zakłócenia „zdolności mobilizacyjnej” amerykańskiej armii – wyjaśnia dyrektor FBI.
Microsoft po raz pierwszy zidentyfikował Volt Typhoon w maju 2023 r., stwierdzając, że hakerzy atakowali sprzęt sieciowy, taki jak routery, firewalle i VPN, od połowy 2021 r. Odbywało się to w ramach ciągłych wysiłków mających na celu infiltrację infrastruktury krytycznej USA. W rzeczywistości hakerzy prawdopodobnie działali znacznie dłużej.
Volt Typhoon włamał się do tysięcy urządzeń podłączonych do Internetu w miesiącach następujących po raporcie Microsoftu, wykorzystując luki w zabezpieczeniach urządzeń podłączonych do Internetu, które zostały uznane za „wycofane z eksploatacji” i jako takie nie otrzymywały już aktualizacji zabezpieczeń. W związku z tym grupa hakerska zdołała następnie skompromitować środowiska IT wielu sektorów infrastruktury krytycznej, w tym lotnictwa, gospodarki wodnej, energetyki i transportu, przygotowując się do przyszłych zakłócających cyberataków.
Rząd USA poinformował w styczniu, że udało mu się zlikwidować botnet wykorzystywany przez Volt Typhoon. FBI stwierdziło, że było w stanie usunąć złośliwe oprogramowanie z przejętych routerów, przerywając połączenie chińskiej grupy hakerskiej z botnetem.
Flax Typhoon
Grupa Flax Typhoon, po raz pierwszy ujawniona w raporcie Microsoftu z sierpnia 2023 r., działała pod przykrywką notowanej na giełdzie firmy zajmującej się cyberbezpieczeństwem z siedzibą w Pekinie. Według amerykańskich urzędników firma Integrity Technology Group publicznie przyznała się do swoich powiązań z rządem Chin.
Amerykańscy urzędnicy powiedzieli, że botnet kontrolowany przez Flax Typhoon był wykorzystywany do „prowadzenia złośliwej działalności cybernetycznej pod przykrywką rutynowego ruchu internetowego z zainfekowanych urządzeń konsumenckich”. Prokuratorzy powiedzieli, że botnet prowadzony przez Flax Typhoon pozwolił innym hakerom wspieranym przez chiński rząd „włamać się do sieci w USA i na całym świecie w celu kradzieży informacji i narażenia naszej infrastruktury na ryzyko”. Flax Typhoon działa od połowy 2021 roku, atakując głównie „agencje rządowe i edukacyjne, krytyczne organizacje produkcyjne i informatyczne na Tajwanie”.
Salt Typhoon
Najnowszą – i potencjalnie najbardziej niepokojącą – grupą w chińskiej armii cybernetycznej wspieranej przez rząd, odkrytą w ostatnich miesiącach, jest Salt Typhoon. Salt Typhoon trafił na pierwsze strony gazet w październiku z powodu wyrafinowanej operacji. Jak po raz pierwszy doniósł „Wall Street Journal”, uważa się, że powiązana z Chinami grupa hakerska włamała się do systemów podsłuchowych kilku amerykańskich dostawców usług telekomunikacyjnych i internetowych, w tym AT&T, Lumen (dawniej CenturyLink) i Verizon.
„Wall Street Journal” pisał, że naruszenie bezpieczeństwa spowodowane przez Salt Typhoon może być „potencjalnie katastrofalne”. Włamując się do systemów, których organy ścigania używają do autoryzowanego przez sąd gromadzenia danych, Salt Typhoon mógł uzyskać dostęp do danych i systemów, w których przechowywana jest większość żądań rządu USA – w tym również tożsamości chińskich celów amerykańskiej inwigilacji.