Susipažinkite su Kinijos „Typhoon“ įsilaužėliais, besiruošiančiais karui
Iš kibernetinio saugumo grėsmių, su kuriomis šiandien susiduria Jungtinės Valstijos, nedaugelis yra didesni už potencialius Kinijos remiamų įsilaužėlių sabotažo pajėgumus, kuriuos aukščiausi JAV pareigūnai apibūdino kaip „epochą apibrėžiančią grėsmę“.
Pastaraisiais mėnesiais JAV žvalgybos pareigūnai teigė, kad Kinijos vyriausybės remiami įsilaužėliai gilinasi į JAV ypatingos svarbos infrastruktūros tinklus, įskaitant vandens, energijos ir transporto tiekėjus. Pareigūnų teigimu, tikslas yra padėti pagrindus galimai destruktyviems kibernetiniams išpuoliams ateityje kilus konfliktui tarp Kinijos ir JAV, pavyzdžiui, dėl galimos Kinijos invazijos į Taivaną.
„Kinijos įsilaužėliai dedasi į Amerikos infrastruktūrą, ruošdamiesi pridaryti sumaištį ir padaryti realią žalą Amerikos piliečiams ir bendruomenėms, jei Kinija nuspręs, kad atėjo laikas streikuoti“, – anksčiau šiais metais įstatymų leidėjams sakė FTB direktorius Christopheris Wray'us.
Nuo tada JAV vyriausybė ir jos sąjungininkai ėmėsi veiksmų prieš Kinijos įsilaužėlių grupių „Typhoon“ šeimą ir paskelbė naujų detalių apie jų keliamas grėsmes.
Sausio mėnesį JAV sugriovė „Volt Typhoon“ – Kinijos vyriausybės įsilaužėlių grupę, kuriai pavesta sudaryti sąlygas destruktyviems kibernetiniams išpuoliams. Vėliau rugsėjį federacijos užgrobė botnetą, valdomą kitos Kinijos programišių grupės „Flax Typhoon“, kuri apsimetė privačia įmone Pekine ir kurios vaidmuo buvo padėti nuslėpti Kinijos vyriausybės įsilaužėlių veiklą. Nuo tada atsirado nauja Kinijos remiama programišių grupė, pavadinta „Salt Typhoon“, galinti rinkti žvalgybos informaciją apie amerikiečius ir galimus JAV sekimo taikinius, pažeidžiant JAV telefonų ir interneto tiekėjų pasiklausymo sistemas.
Štai ką mes iki šiol žinome apie Kinijos įsilaužėlių grupes, besiruošiančias karui.
Voltas Taifūnas
Volt Typhoon atstovauja naujai Kinijos remiamų įsilaužimo grupių veislei; FTB direktoriaus teigimu, nebesiekiama pavogti slaptų JAV paslapčių, bet ruošiamasi sutrikdyti JAV kariuomenės „gebėjimą mobilizuotis“.
„Microsoft“ pirmą kartą nustatė „Volt Typhoon“ 2023 m. gegužę ir nustatė, kad įsilaužėliai nuo 2021 m. vidurio nusitaikė į tinklo įrangą, tokią kaip maršrutizatoriai, ugniasienės ir VPN, kaip nuolatinių ir suderintų pastangų įsiskverbti į JAV kritinę infrastruktūrą dalį. Iš tikrųjų, tikėtina, kad įsilaužėliai veikė daug ilgiau; potencialiai net penkerius metus.
„Volt Typhoon“ per kelis mėnesius po „Microsoft“ ataskaitos sukompromitavo tūkstančius prie interneto prijungtų įrenginių, išnaudodama prie interneto prijungtų įrenginių pažeidžiamumą, kurie buvo laikomi „eksploatavimo pabaigos“ ir todėl nebegaus saugos naujinimų. Taigi įsilaužimo grupei pavyko pakenkti kelių ypatingos svarbos infrastruktūros sektorių, įskaitant aviaciją, vandenį, energetiką ir transportą, IT aplinkai, iš anksto nusiteikusi taip, kad suaktyvintų būsimas pavojingas kibernetines atakas.
„Šis aktorius nevykdo tylaus žvalgybos duomenų rinkimo ir paslapčių vagystės, kuri buvo įprasta JAV. Jie tiria jautrią kritinę infrastruktūrą, kad galėtų sutrikdyti pagrindines paslaugas, jei ir kada įsakymas žlugtų“, – sakė vadovas Johnas Hultquistas. saugumo firmos Mandiant analitikas.
JAV vyriausybė sausio mėnesį paskelbė, kad sėkmingai suardė „Volt Typhoon“ naudojamą „botnetą“, kurį sudaro tūkstančiai užgrobtų JAV įsikūrusių nedidelių biurų ir namų tinklo maršrutizatorių, kuriuos Kinijos programišių grupė naudojo, kad nuslėptų savo kenkėjišką veiklą, nukreiptą prieš JAV kritiškai svarbius žmones. infrastruktūrą. FTB teigė, kad pavyko pašalinti kenkėjišką programą iš užgrobtų maršrutizatorių, taip nutraukdamas Kinijos įsilaužėlių grupės ryšį su robotų tinklu.
Linų taifūnas
„Flax Typhoon“, pirmą kartą paskelbta 2023 m. rugpjūčio mėn. „Microsoft“ ataskaitoje, yra dar viena Kinijos remiama programišių grupė, kuri, pareigūnų teigimu, veikė prisidengus Pekine įsikūrusia viešai parduodama kibernetinio saugumo įmone. Pasak JAV pareigūnų, bendrovė „Integrity Technology Group“ viešai pripažino savo ryšius su Kinijos vyriausybe.
Rugsėjo mėn. JAV vyriausybė paskelbė, kad perėmė kitą botnetą, kurį naudoja „Flax Typhoon“, kuris panaudojo pritaikytą liūdnai pagarsėjusios „Mirai“ kenkėjiškos programos variantą, sudarytą iš šimtų tūkstančių prie interneto prijungtų įrenginių.
Tuo metu JAV pareigūnai sakė, kad „Flax Typhoon“ valdomas robotų tinklas buvo naudojamas „kenkėjiškam kibernetiniam darbui vykdyti, užmaskuotai kaip įprastinis interneto srautas iš užkrėstų vartotojų įrenginių“. Prokurorai teigė, kad „Flax Typhoon“ valdomas robotų tinklas leido kitiems Kinijos vyriausybės remiamiems įsilaužėliams „įsilaužti į JAV ir viso pasaulio tinklus, kad pavogtų informaciją ir keltų pavojų mūsų infrastruktūrai“.
Remiantis „Microsoft“ vyriausybės remiamos grupės profiliu, „Flax Typhoon“ veikė nuo 2021 m. vidurio, daugiausia taikydamas „vyriausybinėms agentūroms ir švietimui, svarbioms gamybos ir informacinių technologijų organizacijoms Taivane“. Teisingumo departamentas teigė, kad tai patvirtina „Microsoft“ išvadas ir kad „Flax Typhoon“ taip pat „užpuolė kelias JAV ir užsienio korporacijas“.
Druskos taifūnas
Naujausia – ir galbūt grėsmingiausia – Kinijos vyriausybės remiamos kibernetinės armijos grupuotė, aptikta pastaraisiais mėnesiais, yra Druskos taifūnas.
Druskos taifūnas spalį pateko į antraštes dėl daug sudėtingesnės operacijos. Kaip pirmą kartą pranešė „Wall Street Journal“, manoma, kad su Kinija susijusi programišių grupė sukompromitavo kelių JAV telekomunikacijų ir interneto tiekėjų, įskaitant „AT&T“, „Lumen“ (buvusią „CenturyLink“) ir „Verizon“, pasiklausymo sistemas.
Remiantis viena ataskaita, „Salt Typhoon“ galėjo gauti prieigą prie šių organizacijų naudodama pažeistus „Cisco“ maršrutizatorius. Teigiama, kad JAV vyriausybė yra pradiniame tyrimo etape.
Nors interneto tiekėjų kompromisų mastas nežinomas, žurnalas, remdamasis nacionalinio saugumo šaltiniais, teigė, kad pažeidimas gali būti „galimas katastrofiškas“. Įsilaužęs į sistemas, kurias teisėsaugos institucijos naudoja teismo įgaliotam klientų duomenims rinkti, „Salt Typhoon“ galėjo gauti prieigą prie duomenų ir sistemų, kuriose yra daug JAV vyriausybės užklausų, įskaitant galimus JAV stebėjimo taikinių iš Kinijos tapatybes.
Kol kas nežinoma, kada įvyko pažeidimas, tačiau WSJ praneša, kad įsilaužėliai galėjo turėti prieigą prie interneto tiekėjų pasiklausymo sistemų „mėnesius ar ilgiau“.