Серед ризиків для кібербезпеки, з якими сьогодні стикаються Сполучені Штати, небагато є більшими, ніж потенціал для саботажу, створений підтримуваними Китаєм хакерами, яких високопосадовці США назвали «загрозою, що визначає епоху».
Останніми місяцями представники розвідки США заявили, що підтримувані китайським урядом хакери проникли глибоко в мережі життєво важливої інфраструктури США, включаючи постачальників води, енергії та транспорту. Мета, за словами чиновників, полягає в тому, щоб закласти основу для потенційно руйнівних кібератак у разі майбутнього конфлікту між Китаєм і США, наприклад можливого китайського вторгнення на Тайвань.
«Китайські хакери поміщають себе в американську інфраструктуру, готуючись посіяти хаос і завдати реальної шкоди американським громадянам і спільнотам, якщо або коли Китай вирішить, що настав час завдати удару», — сказав директор ФБР Крістофер Рей законодавцям на початку цього року.
З тих пір уряд США та його союзники вжили заходів проти сімейства китайських хакерських груп “Тайфун” і оприлюднили нові подробиці про загрози, які вони становлять.
У січні США розгромили так звану групу китайських урядових хакерів «Volt Typhoon», якій доручено створити основу для руйнівних кібератак. Пізніше у вересні федеральні органи конфіскували ботнет іншої китайської хакерської групи під назвою «Flax Typhoon», яка маскувалася під приватну компанію в Пекіні і роль якої полягала в тому, щоб допомогти приховати хакерську діяльність уряду Китаю. Відтоді з’явилася нова підтримувана Китаєм хакерська група під назвою «Соляний тайфун», яка здатна збирати інформацію про американців — і потенційних об’єктів стеження США — шляхом зламу систем прослуховування американських телефонних та інтернет-провайдерів.
Ось що ми знаємо про китайські хакерські групи, які готуються до війни.
Вольт Тайфун
Volt Typhoon представляє нове покоління хакерських груп, підтримуваних Китаєм. За словами директора ФБР, більше не спрямована просто на викрадення секретів США, а скоріше на підготовку до переривання «здатності американських військ до мобілізації».
Корпорація Майкрософт вперше виявила Volt Typhoon у травні 2023 року, виявивши, що з середини 2021 року хакери націлилися та скомпрометували таке мережеве обладнання, як маршрутизатори, брандмауери та VPN, у рамках поточних і скоординованих зусиль з проникнення глибше в критичну інфраструктуру США. Насправді, цілком можливо, що хакери діють набагато довше. потенційно на п’ять років.
Volt Typhoon скомпрометував тисячі пристроїв, підключених до Інтернету, протягом кількох місяців після звіту Microsoft, використовуючи вразливості в пристроях, підключених до Інтернету, які вважалися «вичерпаними» і тому більше не отримували оновлень безпеки. Таким чином, хакерській групі згодом вдалося скомпрометувати ІТ-середовище кількох критично важливих секторів інфраструктури, включаючи авіацію, водопостачання, енергетику та транспорт, налаштувавшись на ініціювання майбутніх потенційних кібератак.
«Цей актор не займається тихим збором розвідданих і крадіжкою секретів, що було нормою в США. Вони досліджують чутливу критичну інфраструктуру, щоб порушити основні служби, якщо і коли порядок руйнується», — сказав Джон Халтквіст, керівник. аналітик охоронної фірми Mandiant.
Уряд США заявив у січні, що він успішно зламав ботнет, який використовував Volt Typhoon, що складається з тисяч зламаних маршрутизаторів невеликих офісів і домашніх мереж у США, які китайська хакерська група використовувала, щоб приховати свою зловмисну діяльність, спрямовану проти критичних США . інфраструктура. ФБР заявило, що вдалося видалити зловмисне програмне забезпечення зі зламаних маршрутизаторів, розірвавши підключення китайської хакерської групи до ботнету.
Лляний ураган
Flax Typhoon, яка вперше з’явилася у звіті Microsoft за серпень 2023 року, є ще однією підтримуваною Китаєм хакерською групою, яка, за словами офіційних осіб, діяла під виглядом публічної фірми з кібербезпеки, розташованої в Пекіні. За словами офіційних осіб США, компанія Integrity Technology Group публічно визнала свої зв’язки з китайським урядом.
У вересні уряд США заявив, що взяв під контроль інший ботнет, який використовував Flax Typhoon, який використовував налаштований варіант сумнозвісного зловмисного програмного забезпечення Mirai, що складається з сотень тисяч пристроїв, підключених до Інтернету.
Тоді офіційні особи США заявили, що контрольований Flax ботнет Typhoon використовувався для «зловмисної онлайн-активності, замаскованої під звичайний веб-трафік із заражених споживчих пристроїв». Прокуратура заявила, що ботнет, керований Flax Typhoon, дозволив іншим хакерам, підтримуваним урядом Китаю, «вражати мережі в США та по всьому світу, щоб викрасти інформацію та тримати нашу інфраструктуру під загрозою».
Відповідно до профілю Microsoft підтримуваної урядом групи, Flax Typhoon працює з середини 2021 року, насамперед націленим на «урядові й освітні, критично важливі виробничі та інформаційні організації на Тайвані». Міністерство юстиції заявило, що підтверджує висновки Microsoft і що Flax Typhoon «також атакував багато американських та іноземних компаній».
Соляний тайфун
Останньою — і потенційно найзловіснішою — групою підтримуваної урядом Китаю кіберармії, яку викрили за останні місяці, є Salt Typhoon.
Salt Typhoon потрапив у заголовки газет у жовтні через набагато складнішу функцію. Як спочатку повідомляв Wall Street Journal, пов’язана з Китаєм хакерська група, ймовірно, зламала системи прослуховування телефонних розмов кількох американських телекомунікаційних та інтернет-провайдерів, включаючи AT&T, Lumen (раніше CenturyLink) і Verizon.
Згідно зі звітом, Salt Typhoon міг отримати доступ до цих організацій за допомогою скомпрометованих маршрутизаторів Cisco. Зазначається, що уряд США знаходиться на ранніх стадіях розслідування.
Хоча масштаб компромісів ISP залишається невідомим, газета з посиланням на джерела національної безпеки заявила, що злом може бути «потенційно катастрофічним». Зламавши системи, які використовуються правоохоронними органами для збору даних клієнтів із дозволу суду, Salt Typhoon потенційно отримав доступ до даних і систем, що містять багато запитів уряду США, включаючи потенційні особи китайських цілей моніторингу США.
Поки що невідомо, коли стався злам, але WSJ повідомляє, що хакери могли мати доступ до систем прослуховування інтернет-провайдерів «протягом місяців або більше».
