Iš kibernetinio saugumo pavojų, su kuriais šiandien susiduria Jungtinės Valstijos, nedaugelis yra didesni už potencialius Kinijos remiamų įsilaužėlių sabotažo pajėgumus, kuriuos aukšti JAV nacionalinio saugumo pareigūnai apibūdino kaip „epochą apibrėžiančią grėsmę“.
JAV teigia, kad Kinijos vyriausybės remiami įsilaužėliai – kai kuriais atvejais jau daugelį metų – gilinasi į JAV ypatingos svarbos infrastruktūros tinklus, įskaitant vandens, energijos ir transporto tiekėjus. Pareigūnų teigimu, tikslas yra padėti pagrindus galimai destruktyviems kibernetiniams išpuoliams ateityje kilus konfliktui tarp Kinijos ir JAV, pavyzdžiui, dėl galimos Kinijos invazijos į Taivaną.
„Kinijos įsilaužėliai dedasi į Amerikos infrastruktūrą, ruošdamiesi pridaryti sumaištį ir padaryti realią žalą Amerikos piliečiams ir bendruomenėms, jei Kinija nuspręs, kad atėjo laikas streikuoti“, – pernai įstatymų leidėjams sakė tuometinis FTB direktorius Christopheris Wray'us.
Nuo to laiko JAV vyriausybė ir jos sąjungininkai ėmėsi veiksmų prieš kai kurias Kinijos įsilaužėlių grupių „Typhoon“ šeimą ir paskelbė naujų detalių apie šių grupių keliamas grėsmes.
2024 m. sausį JAV sužlugdė „Volt Typhoon“ – Kinijos vyriausybės įsilaužėlių grupę, kuriai pavesta sudaryti sąlygas destruktyviems kibernetiniams išpuoliams. Vėliau, 2024 m. rugsėjį, federalinės valdžios institucijos perėmė kitos Kinijos programišių grupės „Flax Typhoon“ valdomo robotų tinklo kontrolę, kuri pasitelkė Pekine įsikūrusią kibernetinio saugumo įmonę, kad padėtų nuslėpti Kinijos vyriausybės įsilaužėlių veiklą. Tada gruodį JAV vyriausybė skyrė sankcijas kibernetinio saugumo bendrovei už tariamą jos vaidmenį „daugkartiniuose kompiuterių įsibrovimo incidentuose prieš JAV aukas“.
Nuo tada JAV telefonų ir interneto gigantų tinkluose atsirado dar viena Kinijos remiama programišių grupė, pavadinta „Salt Typhoon“, galinti rinkti žvalgybos informaciją apie amerikiečius ir galimus JAV sekimo taikinius, pažeidžiant telekomunikacijų sistemas, naudojamas teisėsaugos pokalbių pasiklausymui.
Kinijos grėsmių aktorius Silk Typhoon (anksčiau žinomas kaip Hafnium), programišių grupė, veikianti mažiausiai nuo 2021 m., 2024 m. gruodį grįžo su nauja kampanija, nukreipta į JAV iždą.
Štai ką mes sužinojome apie Kinijos įsilaužėlių grupes, besiruošiančias karui.
Voltas Taifūnas
Volt Typhoon atstovauja naujai Kinijos remiamų įsilaužimo grupių veislei; Anot tuometinio FTB direktoriaus, nebesiekiama tik pavogti slaptų JAV paslapčių, bet ruošiamasi sutrikdyti JAV kariuomenės „gebėjimą mobilizuotis“.
„Microsoft“ pirmą kartą nustatė „Volt Typhoon“ 2023 m. gegužę ir nustatė, kad įsilaužėliai mažiausiai nuo 2021 m. vidurio taikėsi ir pažeidė tinklo įrangą, pvz., maršrutizatorius, ugniasienes ir VPN, kaip dalį nuolatinių ir suderintų pastangų giliai įsiskverbti į JAV kritinė infrastruktūra. JAV žvalgybos bendruomenė teigė, kad iš tikrųjų įsilaužėliai veikiausiai veikė daug ilgiau, galbūt net penkerius metus.
„Volt Typhoon“ per kelis mėnesius po „Microsoft“ ataskaitos paskelbimo pakenkė tūkstančiams šių prie interneto prijungtų įrenginių, išnaudodama pažeidžiamumą įrenginiuose, kurie buvo laikomi „eksploatavimo pabaigos“ ir todėl nebegaus saugos naujinimų. Vėliau įsilaužimo grupė įgijo tolesnę prieigą prie kelių kritinės infrastruktūros sektorių, įskaitant aviaciją, vandenį, energetiką ir transportą, IT aplinkų, iš anksto nustatydama būsimas žlugdančias kibernetines atakas, kuriomis siekiama sulėtinti JAV vyriausybės atsaką į pagrindinio sąjungininko invaziją. Taivanas.
„Šis aktorius nevykdo tylaus žvalgybos duomenų rinkimo ir paslapčių vagystės, kuri buvo įprasta JAV. Jie tiria jautrią kritinę infrastruktūrą, kad galėtų sutrikdyti pagrindines paslaugas, jei ir kada įsakymas žlugtų“, – sakė vadovas Johnas Hultquistas. saugumo firmos Mandiant analitikas.
JAV vyriausybė 2024 m. sausio mėn. paskelbė, kad sėkmingai suardė „Volt Typhoon“ naudojamą robotų tinklą, kurį sudaro tūkstančiai užgrobtų JAV įsikūrusių nedidelių biurų ir namų tinklo maršrutizatorių, kuriuos Kinijos įsilaužėlių grupė panaudojo, kad nuslėptų savo kenkėjišką veiklą, nukreiptą prieš JAV. kritinė infrastruktūra. FTB teigė, kad jam pavyko pašalinti kenkėjiškas programas iš užgrobtų maršrutizatorių, atlikdamas teismo sankcionuotą operaciją, taip nutraukdamas Kinijos įsilaužėlių grupės ryšį su robotų tinklu.
Remiantis „Bloomberg“ pranešimu, iki 2025 m. sausio mėn. JAV aptiko daugiau nei 100 įsibrovimų visoje šalyje ir jos teritorijose, susijusiose su Volt Typhoon. Daug šių atakų buvo nukreiptos į Guamą – JAV salos teritoriją Ramiajame vandenyne ir strateginę Amerikos karinių operacijų vietą, sakoma pranešime. „Volt Typhoon“ tariamai nusitaikė į svarbiausią salos infrastruktūrą, įskaitant jos pagrindinę energijos instituciją, didžiausią salos mobiliųjų telefonų tiekėją ir kelis JAV federalinius tinklus, įskaitant jautrias gynybos sistemas, pagrįstas Guamu. „Bloomberg“ pranešė, kad „Volt Typhoon“ naudojo visiškai naują kenkėjišką programinę įrangą, nukreiptą į Guamo tinklus, kurių jis niekada anksčiau nebuvo įdiegęs, o tai tyrėjai įvertino kaip didelį regiono svarbą Kinijos remiamiems įsilaužėliams.
Linų taifūnas
„Flax Typhoon“, kurią „Microsoft“ pirmą kartą paskelbė po kelių mėnesių 2023 m. rugpjūčio mėn. ataskaitoje, yra dar viena Kinijos remiama programišių grupė, kuri, pasak pareigūnų, veikė prisidengdama Pekine įsikūrusia viešai parduodama kibernetinio saugumo įmone, kuri pastaruoju metu vykdė įsilaužimus į kritinę infrastruktūrą. metų. „Microsoft“ teigė, kad „Flax Typhoon“, taip pat veikiantis nuo 2021 m. vidurio, daugiausia buvo nukreiptas į dešimtis „vyriausybinių agentūrų ir švietimo, svarbių gamybos ir informacinių technologijų organizacijų Taivane“.
Tada 2023 m. rugsėjį JAV vyriausybė pareiškė perėmusi valdyti kitą botnetą, kurį sudaro šimtai tūkstančių užgrobtų prie interneto prijungtų įrenginių ir kurį Flax Typhoon naudojo „piktybinei kibernetinei veiklai, užmaskuotai kaip įprastinis interneto srautas iš užkrėstų vartotojų įrenginių“. Prokurorai teigė, kad robotų tinklas leido kitiems Kinijos vyriausybės remiamiems įsilaužėliams „įsilaužti į JAV ir viso pasaulio tinklus, kad pavogtų informaciją ir keltų pavojų mūsų infrastruktūrai“.
Teisingumo departamentas vėliau patvirtino „Microsoft“ išvadas ir pridūrė, kad „Flax Typhoon“ taip pat „užpuolė kelias JAV ir užsienio korporacijas“.
JAV pareigūnai teigė, kad „Flax Typhoon“ naudojamą robotų tinklą valdo ir kontroliuoja Pekine įsikūrusi kibernetinio saugumo bendrovė „Integrity Technology Group“. 2024 m. sausio mėn. JAV vyriausybė įvedė sankcijas „Integrity Tech“ dėl jos tariamų ryšių su „Flax Typhoon“.
Druskos taifūnas
Naujausia – ir galbūt grėsmingiausia – Kinijos vyriausybės remiamos kibernetinės armijos grupuotė, aptikta pastaraisiais mėnesiais, yra Druskos taifūnas.
Druskos taifūnas antraštėse pasirodė 2024 m. spalį dėl kitokio pobūdžio informacijos rinkimo operacijos. Kaip pirmą kartą pranešė „The Wall Street Journal“, su Kinija susijusi programišių grupė pakenkė keliems JAV telekomunikacijų ir interneto tiekėjams, įskaitant „AT&T“, „Lumen“ (buvusią „CenturyLink“) ir „Verizon“. Vėliau 2025 m. sausio mėn. žurnalas pranešė, kad „Salt Typhoon“ taip pat pažeidė JAV įsikūrusius interneto tiekėjus „Charter Communications“ ir „Windstream“. JAV kibernetinė pareigūnė Anne Neuberger sakė, kad federalinė vyriausybė nustatė neįvardytą devintąjį telefonų tinklą, į kurį buvo įsilaužta.
Remiantis viena ataskaita, „Salt Typhoon“ galėjo gauti prieigą prie šių telekomunikacijų tinklų naudodama pažeistus „Cisco“ maršrutizatorius. Patekę į telco tinklus, užpuolikai galėjo pasiekti klientų skambučių ir tekstinių pranešimų metaduomenis, įskaitant klientų ryšių datos ir laiko žymes, šaltinio ir paskirties IP adresus ir telefono numerius iš daugiau nei milijono vartotojų; kurių dauguma buvo asmenys, įsikūrę Vašingtono DC srityje. Kai kuriais atvejais įsilaužėliai galėjo užfiksuoti vyresnio amžiaus amerikiečių telefono garsą. Neubergeris teigė, kad „daugelis“ tų, kurie turėjo prieigą prie duomenų, buvo „vyriausybės interesų objektai“.
Įsilaužusi į sistemas, kurias teisėsaugos institucijos naudoja teismo įgaliotam klientų duomenų rinkimui, „Salt Typhoon“ taip pat galėjo gauti prieigą prie duomenų ir sistemų, kuriose saugoma daug JAV vyriausybės duomenų užklausų, įskaitant galimus JAV sekimo objektus iš Kinijos.
Kol kas nežinoma, kada įvyko pokalbių pasiklausymo sistemų pažeidimas, tačiau, remiantis žurnalo pranešimu, tai gali būti 2024 m.
AT&T ir „Verizon“ 2024 m. gruodį „TechCrunch“ sakė, kad jų tinklai buvo saugūs po to, kai juos nusitaikė „Salt Typhoon“ šnipinėjimo grupė. „Lumen“ netrukus patvirtino, kad jo tinklas buvo laisvas nuo įsilaužėlių.
Šilko taifūnas
Kinijos remiama programišių grupė, anksčiau žinoma kaip Hafnium, tyliai vėl pasirodė kaip naujai pavadintas Šilko taifūnas po to, kai buvo siejamas su 2024 m. gruodžio mėn. įsilaužimu į JAV iždą.
Laiške įstatymų leidėjams, kurį matė TechCrunch, 2024 m. gruodžio pabaigoje JAV iždas nurodė, kad Kinijos remiami įsilaužėliai panaudojo raktą, pavogtą iš BeyondTrust – įmonės, teikiančios tapatybės prieigos technologijas didelėms organizacijoms ir vyriausybiniams departamentams, kad gautų nuotolinę prieigą prie tam tikrų. Iždo darbuotojų darbo vietos, įskaitant vidinius dokumentus departamento neįslaptintame tinkle.
Per įsilaužimą valstybės remiama programišių grupė taip pat sukompromitavo Iždo sankcijų biurą, kuris taiko ekonomines ir prekybos sankcijas šalims ir asmenims; gruodį taip pat pažeidė Iždo Užsienio investicijų komitetą arba CFIUS – biurą, turintį teisę blokuoti Kinijos investicijas Jungtinėse Valstijose.
„Silk Typhoon“ nėra nauja grėsmių grupė, anksčiau 2021 m. pasirodžiusi antraštėse kaip „Hafnium“, kaip tada buvo žinoma, dėl savaiminių „Microsoft Exchange“ el. pašto serverių pažeidžiamumo išnaudojimo, kuris pakenkė daugiau nei 60 000 organizacijų.
Anot „Microsoft“, sekančios vyriausybės remiamą įsilaužėlių grupę, „Silk Typhoon“ paprastai daugiausia dėmesio skiria žvalgybai ir duomenų vagystėms ir yra žinomas kaip taikinys sveikatos priežiūros organizacijoms, advokatų kontoroms ir nevyriausybinėms organizacijoms Australijoje, Japonijoje, Vietname ir JAV. .
Pirmą kartą paskelbta 2024 m. spalio 13 d. ir atnaujinta.