Iš kibernetinio saugumo pavojų, su kuriais šiandien susiduria Jungtinės Valstijos, nedaugelis yra didesni už potencialius Kinijos remiamų įsilaužėlių sabotažo pajėgumus, kuriuos aukšti JAV nacionalinio saugumo pareigūnai apibūdino kaip „epochą apibrėžiančią grėsmę“.
JAV teigia, kad Kinijos vyriausybės remiami įsilaužėliai – kai kuriais atvejais jau daugelį metų – gilinasi į JAV ypatingos svarbos infrastruktūros tinklus, įskaitant vandens, energijos ir transporto tiekėjus. Pareigūnų teigimu, tikslas yra padėti pagrindus galimai destruktyviems kibernetiniams išpuoliams ateityje kilus konfliktui tarp Kinijos ir JAV, pavyzdžiui, dėl galimos Kinijos invazijos į Taivaną.
„Kinijos įsilaužėliai dedasi į Amerikos infrastruktūrą, ruošdamiesi pridaryti sumaištį ir padaryti realią žalą Amerikos piliečiams ir bendruomenėms, jei Kinija nuspręs, kad atėjo laikas streikuoti“, – pernai įstatymų leidėjams sakė tuometinis FTB direktorius Christopheris Wray'us.
Nuo to laiko JAV vyriausybė ir jos sąjungininkai ėmėsi veiksmų prieš kai kurias Kinijos įsilaužėlių grupių „Typhoon“ šeimą ir paskelbė naujų detalių apie šių grupių keliamas grėsmes.
2024 m. sausį JAV sužlugdė „Volt Typhoon“ – Kinijos vyriausybės įsilaužėlių grupę, kuriai pavesta sudaryti sąlygas destruktyviems kibernetiniams išpuoliams. Vėliau, 2024 m. rugsėjį, federalinės valdžios institucijos perėmė kitos Kinijos programišių grupės „Flax Typhoon“ valdomo robotų tinklo kontrolę, kuri pasitelkė Pekine įsikūrusią kibernetinio saugumo įmonę, kad padėtų nuslėpti Kinijos vyriausybės įsilaužėlių veiklą. Tada 2025 m. gruodį JAV vyriausybė skyrė sankcijas kibernetinio saugumo bendrovei už tariamą jos vaidmenį „keliuose kompiuterių įsibrovimo incidentuose prieš JAV aukas“.
Po „Volt Typhoon“ atsiradimo JAV telefonų ir interneto milžinų tinkluose atsirado dar viena Kinijos remiama programišių grupė „Salt Typhoon“, galinti rinkti žvalgybos informaciją apie amerikiečius ir galimus JAV sekimo taikinius, kompromituodami telekomunikacijų sistemas, naudojamas teisėsaugos pokalbių pasiklausymai.
Štai ką mes sužinojome apie Kinijos įsilaužėlių grupes, besiruošiančias karui.
Voltas Taifūnas
Volt Typhoon atstovauja naujai Kinijos remiamų įsilaužimo grupių veislei; Anot tuometinio FTB direktoriaus, nebesiekiama tik pavogti slaptų JAV paslapčių, bet ruošiamasi sutrikdyti JAV kariuomenės „gebėjimą mobilizuotis“.
„Microsoft“ pirmą kartą nustatė „Volt Typhoon“ 2023 m. gegužę ir nustatė, kad įsilaužėliai mažiausiai nuo 2021 m. vidurio taikėsi ir pažeidė tinklo įrangą, pvz., maršrutizatorius, ugniasienes ir VPN, kaip dalį nuolatinių ir suderintų pastangų giliai įsiskverbti į JAV kritinė infrastruktūra. JAV žvalgybos bendruomenė teigė, kad iš tikrųjų įsilaužėliai veikiausiai veikė daug ilgiau, galbūt net penkerius metus.
„Volt Typhoon“ per kelis mėnesius po „Microsoft“ ataskaitos paskelbimo pakenkė tūkstančiams šių prie interneto prijungtų įrenginių, išnaudodama pažeidžiamumą įrenginiuose, kurie buvo laikomi „eksploatavimo pabaigos“ ir todėl nebegaus saugos naujinimų. Vėliau įsilaužimo grupė įgijo tolesnę prieigą prie kelių kritinės infrastruktūros sektorių, įskaitant aviaciją, vandenį, energetiką ir transportą, IT aplinkų, iš anksto nustatydama būsimas žlugdančias kibernetines atakas, kuriomis siekiama sulėtinti JAV vyriausybės atsaką į pagrindinio sąjungininko invaziją. Taivanas.
„Šis aktorius nevykdo tylaus žvalgybos duomenų rinkimo ir paslapčių vagystės, kuri buvo įprasta JAV. Jie tiria jautrią kritinę infrastruktūrą, kad galėtų sutrikdyti pagrindines paslaugas, jei ir kada įsakymas žlugtų“, – sakė vadovas Johnas Hultquistas. saugumo firmos Mandiant analitikas.
JAV vyriausybė 2024 m. sausio mėn. paskelbė, kad sėkmingai suardė „Volt Typhoon“ naudojamą robotų tinklą, kurį sudaro tūkstančiai užgrobtų JAV įsikūrusių nedidelių biurų ir namų tinklo maršrutizatorių, kuriuos Kinijos įsilaužėlių grupė panaudojo, kad nuslėptų savo kenkėjišką veiklą, nukreiptą prieš JAV. kritinė infrastruktūra. FTB teigė, kad jam pavyko pašalinti kenkėjiškas programas iš užgrobtų maršrutizatorių, atlikdamas teismo sankcionuotą operaciją, taip nutraukdamas Kinijos įsilaužėlių grupės ryšį su robotų tinklu.
Remiantis „Bloomberg“ pranešimu, iki 2025 m. sausio mėn. JAV aptiko daugiau nei 100 įsibrovimų visoje šalyje ir jos teritorijose, susijusiose su Volt Typhoon. Daug šių atakų buvo nukreiptos į Guamą – JAV salos teritoriją Ramiajame vandenyne ir strateginę Amerikos karinių operacijų vietą, sakoma pranešime. „Volt Typhoon“ tariamai nusitaikė į svarbiausią salos infrastruktūrą, įskaitant jos pagrindinę energijos instituciją, didžiausią salos mobiliųjų telefonų tiekėją ir kelis JAV federalinius tinklus, įskaitant jautrias gynybos sistemas, pagrįstas Guamu. „Bloomberg“ pranešė, kad „Volt Typhoon“ naudojo visiškai naują kenkėjišką programinę įrangą, nukreiptą į Guamo tinklus, kurių jis niekada anksčiau nebuvo įdiegęs, o tai tyrėjai įvertino kaip didelį regiono svarbą Kinijos remiamiems įsilaužėliams.
Linų taifūnas
„Flax Typhoon“, kurią „Microsoft“ pirmą kartą paskelbė po kelių mėnesių 2023 m. rugpjūčio mėn. ataskaitoje, yra dar viena Kinijos remiama programišių grupė, kuri, pasak pareigūnų, veikė prisidengdama Pekine įsikūrusia viešai parduodama kibernetinio saugumo įmone, kuri pastaruoju metu vykdė įsilaužimus į kritinę infrastruktūrą. metų. „Microsoft“ teigė, kad „Flax Typhoon“, taip pat veikiantis nuo 2021 m. vidurio, daugiausia buvo nukreiptas į dešimtis „vyriausybinių agentūrų ir švietimo, svarbių gamybos ir informacinių technologijų organizacijų Taivane“.
Tada 2023 m. rugsėjį JAV vyriausybė pareiškė perėmusi valdyti kitą botnetą, kurį sudaro šimtai tūkstančių užgrobtų prie interneto prijungtų įrenginių ir kurį Flax Typhoon naudojo „piktybinei kibernetinei veiklai, užmaskuotai kaip įprastinis interneto srautas iš užkrėstų vartotojų įrenginių“. Prokurorai teigė, kad robotų tinklas leido kitiems Kinijos vyriausybės remiamiems įsilaužėliams „įsilaužti į JAV ir viso pasaulio tinklus, kad pavogtų informaciją ir keltų pavojų mūsų infrastruktūrai“.
Teisingumo departamentas vėliau patvirtino „Microsoft“ išvadas ir pridūrė, kad „Flax Typhoon“ taip pat „užpuolė kelias JAV ir užsienio korporacijas“.
JAV pareigūnai teigė, kad „Flax Typhoon“ naudojamą robotų tinklą valdo ir kontroliuoja Pekine įsikūrusi kibernetinio saugumo bendrovė „Integrity Technology Group“. 2024 m. sausio mėn. JAV vyriausybė įvedė sankcijas „Integrity Tech“ dėl jos tariamų ryšių su „Flax Typhoon“.
Druskos taifūnas
Naujausia – ir galbūt grėsmingiausia – Kinijos vyriausybės remiamos kibernetinės armijos grupuotė, aptikta pastaraisiais mėnesiais, yra Druskos taifūnas.
Druskos taifūnas antraštėse pasirodė 2024 m. spalį dėl kitokio pobūdžio informacijos rinkimo operacijos. Kaip pirmą kartą pranešė „The Wall Street Journal“, su Kinija susijusi programišių grupė pakenkė keliems JAV telekomunikacijų ir interneto tiekėjams, įskaitant „AT&T“, „Lumen“ (buvusią „CenturyLink“) ir „Verizon“. Vėliau 2025 m. sausio mėn. žurnalas pranešė, kad „Salt Typhoon“ taip pat pažeidė JAV įsikūrusius interneto tiekėjus „Charter Communications“ ir „Windstream“. JAV kibernetinė pareigūnė Anne Neuberger sakė, kad federalinė vyriausybė nustatė neįvardytą devintąjį telefonų tinklą, į kurį buvo įsilaužta.
Remiantis viena ataskaita, „Salt Typhoon“ galėjo gauti prieigą prie šių telekomunikacijų tinklų naudodama pažeistus „Cisco“ maršrutizatorius. Patekę į telco tinklus, užpuolikai galėjo pasiekti klientų skambučių ir tekstinių pranešimų metaduomenis, įskaitant klientų ryšių datos ir laiko žymes, šaltinio ir paskirties IP adresus ir telefono numerius iš daugiau nei milijono vartotojų; kurių dauguma buvo asmenys, įsikūrę Vašingtono DC srityje. Kai kuriais atvejais įsilaužėliai galėjo užfiksuoti vyresnio amžiaus amerikiečių telefono garsą. Neubergeris teigė, kad „daugelis“ tų, kurie turėjo prieigą prie duomenų, buvo „vyriausybės interesų objektai“.
Įsilaužusi į sistemas, kurias teisėsaugos institucijos naudoja teismo įgaliotam klientų duomenims rinkti, „Salt Typhoon“ taip pat galėjo pasiekti duomenų ir sistemų, kuriose saugoma daug JAV vyriausybės duomenų užklausų, įskaitant galimus JAV sekimo objektus iš Kinijos.
Kol kas nežinoma, kada įvyko pokalbių pasiklausymo sistemų pažeidimas, tačiau, remiantis žurnalo pranešimu, tai gali būti 2024 m.
AT&T ir „Verizon“ 2024 m. gruodį „TechCrunch“ sakė, kad jų tinklai buvo saugūs po to, kai juos nusitaikė „Salt Typhoon“ šnipinėjimo grupė. „Lumen“ netrukus patvirtino, kad jo tinklas buvo laisvas nuo įsilaužėlių.
Pirmą kartą paskelbta 2024 m. spalio 13 d. ir atnaujinta.
