Az Egyesült Államokat ma fenyegető kiberbiztonsági kockázatok közül csak kevés van nagyobb, mint a Kína által támogatott hackerek potenciális szabotázsképessége, amelyet az Egyesült Államok magas rangú nemzetbiztonsági tisztviselői „korszakot meghatározó fenyegetésnek” minősítettek.
Az Egyesült Államok szerint a kínai kormány által támogatott hackerek – egyes esetekben évek óta – mélyen behatolnak az Egyesült Államok kritikus infrastruktúráinak hálózataiba, beleértve a víz-, energia- és szállítási szolgáltatókat. A tisztviselők szerint a cél az, hogy megalapozzák a potenciálisan pusztító kibertámadásokat abban az esetben, ha egy jövőbeni konfliktus Kína és az Egyesült Államok között, mint pl. lehetséges kínai invázió Tajvan ellen.
„A kínai hackerek az amerikai infrastruktúrán helyezkednek el, hogy pusztítást végezzenek, és valós károkat okozzanak az amerikai polgároknak és közösségeknek, ha vagy amikor Kína úgy dönt, hogy eljött a sztrájk ideje” – mondta tavaly a törvényhozóknak Christopher Wray, az FBI leköszönő igazgatója.
Az Egyesült Államok kormánya és szövetségesei azóta felléptek a kínai hackercsoportok „Typhoon” családja ellen, és új részleteket tettek közzé a csoportok által jelentett fenyegetésekről.
2024 januárjában az Egyesült Államok megzavarta a Volt Typhoon-t, a kínai kormány hackereiből álló csoportot, amelynek feladata a pusztító kibertámadások előkészítése. Később, 2024 szeptemberében a szövetségi hatóságok átvették az irányítást egy másik kínai hackercsoport, a „Flax Typhoon” botnet felett, amely egy pekingi székhelyű kiberbiztonsági vállalatot használt fel a kínai kormányzati hackerek tevékenységének eltitkolására. Aztán decemberben az Egyesült Államok kormánya szankcionálta a kiberbiztonsági vállalatot az „amerikai áldozatok ellen elkövetett többszörös számítógépes behatolási incidensben” állítólagos szerepe miatt.
Azóta egy újabb, Kína által támogatott hackercsoport, a „Salt Typhoon” jelent meg az amerikai telefon- és internetes óriáscégek hálózatában, amely képes információkat gyűjteni az amerikaiakról – és az amerikai megfigyelés lehetséges célpontjairól – a bűnüldözési lehallgatásokhoz használt távközlési rendszerek kompromittálásával.
És a Silk Typhoon (korábbi nevén Hafnium) nevű kínai fenyegetettség szereplője, egy legalább 2021 óta működő hackercsoport, 2024 decemberében visszatért egy új kampánnyal, amely az Egyesült Államok Pénzügyminisztériumát célozta meg.
Íme, mit tudtunk meg a háborúra készülő kínai hackercsoportokról.
Volt Typhoon
A Volt Typhoon a Kína által támogatott hackercsoportok új fajtáját képviseli; Az FBI akkori igazgatója szerint már nem csupán kényes amerikai titkok ellopására irányult, hanem inkább arra készül, hogy megzavarja az amerikai hadsereg „mobilizációs képességét”.
A Microsoft először azonosította a Volt Typhoon-t 2023 májusában megállapították, hogy a hackerek legalább 2021 közepe óta megcéloztak és feltörtek hálózati berendezéseket, például útválasztókat, tűzfalakat és VPN-eket, annak a folyamatos és összehangolt erőfeszítésnek a részeként, hogy mélyen behatoljanak az Egyesült Államok kritikus infrastruktúrájának rendszereibe. Az amerikai hírszerző közösség azt mondta, hogy a valóságban a hackerek valószínűleg sokkal hosszabb ideig működtek, akár öt évig is.
A Volt Typhoon a Microsoft jelentését követő hónapokban több ezer ilyen internetkapcsolattal rendelkező eszközt veszélyeztetett, kihasználva az „élettartam végének”-nek tekintett eszközök sebezhetőségét, és ezért a továbbiakban nem kapnak biztonsági frissítéseket. A hackercsoport ezt követően további hozzáférést kapott számos kritikus infrastrukturális szektor informatikai környezetéhez, beleértve a légi közlekedést, a vízellátást, az energiát és a közlekedést, és előre pozicionálhatta a jövőbeli bomlasztó kibertámadásokat, amelyek célja, hogy lassítsa az amerikai kormány válaszát kulcsfontosságú szövetségese inváziójára. Tajvan.
„Ez a színész nem végzi el azt a csendes hírszerzést és titkok ellopását, ami az Egyesült Államokban megszokott. Az érzékeny kritikus infrastruktúrát vizsgálják, hogy megzavarhassák a főbb szolgáltatásokat, ha és amikor a parancs felborul” – mondta John Hultquist, a főnök. a Mandiant biztonsági cég elemzője.
A Az Egyesült Államok kormánya 2024 januárjában közölte hogy sikeresen megzavarta a Volt Typhoon által használt, több ezer eltérített, egyesült államokbeli kis irodai és otthoni hálózati útválasztóból álló botnetet, amelyet a kínai hackercsoport az Egyesült Államok kritikus infrastruktúráját célzó rosszindulatú tevékenységének elrejtésére használt. Az FBI közölte, hogy egy bíróság által jóváhagyott művelettel el tudta távolítani a kártevőt a feltört útválasztókról, megszakítva a kínai hackercsoport kapcsolatát a botnettel.
2025 januárjáig az Egyesült Államok több mint 100 behatolást fedezett fel A Bloomberg jelentése szerint az egész országban és a Volt Typhoonhoz köthető területein. A jelentés szerint a támadások nagy része Guamot célozta, amely az Egyesült Államok csendes-óceáni szigete, és az amerikai katonai műveletek stratégiai helyszíne. A Volt Typhoon állítólag a kritikus infrastruktúrát vette célba a szigeten, beleértve a fő energiaellátási hatóságot, a sziget legnagyobb cellaszolgáltatóját, valamint számos amerikai szövetségi hálózatot, köztük Guam alapú érzékeny védelmi rendszereket. A Bloomberg arról számolt be, hogy a Volt Typhoon egy teljesen új típusú rosszindulatú szoftvert használt a Guamban található hálózatok megcélzására, amelyeket korábban soha nem telepített, amit a kutatók annak jeleként vettek figyelembe, hogy a régió milyen nagy jelentőséggel bír a Kína által támogatott hackerek számára.
Lentájfun
Len Typhoon, amelyet először a Microsoft adott ki néhány hónappal később egy 2023. augusztusi jelentésegy másik Kína által támogatott hackercsoport, amely a tisztviselők szerint egy pekingi székhelyű, nyilvánosan jegyzett kiberbiztonsági vállalat leple alatt működött az elmúlt években kritikus infrastruktúrák elleni feltörések végrehajtására. A Microsoft szerint a szintén 2021 közepe óta működő Flax Typhoon túlnyomórészt több tucat „kormányzati ügynökséget és oktatási, kritikus gyártói és információs technológiai szervezetet célzott Tajvanon”.
Aztán 2023 szeptemberében az Egyesült Államok kormánya bejelentette, hogy átvette az irányítást egy másik botnet felett, amely több százezer eltérített, internetre csatlakozó eszközből állt. által használt Flax Typhoon hogy „rutin internetes forgalomnak álcázott rosszindulatú kibertevékenységet hajtson végre a fertőzött fogyasztói eszközökről”. Az ügyészek szerint a botnet lehetővé tette a kínai kormány által támogatott más hackerek számára, hogy „az Egyesült Államokban és a világban működő hálózatokba törjenek fel, hogy információkat lopjanak el, és veszélyben tartsák infrastruktúránkat”.
Az Igazságügyi Minisztérium később megerősítette a Microsoft megállapításait, hozzátéve, hogy a Flax Typhoon „több amerikai és külföldi vállalatot is megtámadt”.
Amerikai tisztviselők elmondták, hogy a Flax Typhoon által használt botnetet a pekingi székhelyű kiberbiztonsági vállalat, az Integrity Technology Group üzemeltette és ellenőrzi. 2024 januárjában az Egyesült Államok kormánya szankciókat vezetett be az Integrity Tech ellen a Flax Typhoon állítólagos kapcsolatai miatt.
Salt Typhoon
A kínai kormány által támogatott kiberhadsereg legújabb – és potenciálisan legbaljóslatúbb – csoportja, amelyet az elmúlt hónapokban tártak fel, a Salt Typhoon.
A Salt Typhoon 2024 októberében került a címlapokra egy másfajta információgyűjtési műveletről. Mint Először a The Wall Street Journal számolt bea Kínához köthető hackercsoport feltört több amerikai távközlési és internetszolgáltatót, köztük az AT&T-t, a Lument (korábban CenturyLink) és a Verizont. A Journal később, 2025 januárjában jelentették hogy a Salt Typhoon az egyesült államokbeli Charter Communications és a Windstream internetszolgáltatókat is megsértette. Anne Neuberger amerikai kibertisztviselő azt mondta, hogy a szövetségi kormány azonosította a kilencedik, meg nem nevezett, feltört telefontársaságot.
Szerint egy jelentésta Salt Typhoon feltört Cisco útválasztók segítségével férhetett hozzá ezekhez a telefonokhoz. Miután bekerültek a távközlési hálózatba, a támadók hozzáférhettek az ügyfelek hívásainak és szöveges üzeneteinek metaadataihoz, köztük az ügyfelek kommunikációjának dátum- és időbélyegzőihez, a forrás és cél IP-címeihez, valamint több mint egymillió felhasználó telefonszámához; amelyek többsége Washington DC körzetében tartózkodó egyének volt. Egyes esetekben a hackerek voltak képes rögzíteni a telefon hangját idősebb amerikaiaktól. Neuberger szerint az adatokhoz hozzáférők „nagy része” „kormányzati célpont”.
A bűnüldöző szervek által az ügyfelek adatainak bírósági felhatalmazással történő gyűjtésére használt rendszerek feltörésével a Salt Typhoon potenciálisan hozzáférhetett azokhoz az adatokhoz és rendszerekhez is, amelyek az Egyesült Államok kormányának adatkérelmeinek nagy részét tartalmazzák, beleértve az amerikai megfigyelés kínai célpontjainak lehetséges személyazonosságát is.
Egyelőre nem tudni, hogy mikor történt a lehallgatási rendszerek feltörése, de a Journal beszámolója szerint 2024 elejére nyúlhat vissza.
Az AT&T és a Verizon 2024 decemberében azt nyilatkozta a TechCrunchnak, hogy hálózataik biztonságosak voltak, miután a Salt Typhoon kémcsoport célpontja lett. A Lumen nem sokkal ezután megerősítette, hogy hálózata mentes a hackerektől.
Selyemtájfun
A korábban Hafnium néven ismert Kína által támogatott hackercsoport csendben ismét Silk Typhoon néven jelent meg, miután kapcsolatba került egy 2024 decemberi amerikai pénzügyminisztériumi hackeléssel.
A TechCrunch által megismert törvényhozóknak írt levelében az Egyesült Államok Pénzügyminisztériuma 2024 decemberének végén azt mondta, hogy a Kína által támogatott hackerek a BeyondTrusttól ellopott kulcsot használtak, amely nagy szervezetek és kormányzati szervek számára személyazonosság-hozzáférési technológiát biztosít. Kincstári dolgozói munkaállomások, ahol belső dokumentumokat találtak az osztály nem minősített hálózatán.
A feltörés során az államilag támogatott hackercsoport kompromittálta a Pénzügyminisztérium szankciós hivatalát is, amely gazdasági és kereskedelmi szankciókat szab ki országokkal és magánszemélyekkel szemben. Emellett decemberben megsértette a Pénzügyminisztérium egyesült államokbeli külföldi befektetésekkel foglalkozó bizottságát (CFIUS), amely hivatalnak van joga blokkolni a kínai befektetéseket az Egyesült Államokban.
A Silk Typhoon nem egy új fenyegetett csoport, korábban 2021-ben Hafnium néven került a címlapokra – ahogy akkoriban ismerték – a saját üzemeltetésű Microsoft Exchange e-mail szerverek sebezhetőségeinek kihasználása miatt, amelyek több mint 60 000 szervezetet veszélyeztettek.
Szerint Microsoftamely a kormány által támogatott hackercsoportot követi, a Silk Typhoon jellemzően a felderítésre és az adatlopásra összpontosít, és arról ismert, hogy Ausztráliában, Japánban, Vietnamban és az Egyesült Államokban egészségügyi szervezeteket, ügyvédi irodákat és nem kormányzati szervezeteket céloz meg.
Először 2024. október 13-án tették közzé és frissítették.