Kineski hakeri prodrli u desetine kritičnih infrastrukturnih sistema SAD
Vašington post je u ponedeljak objavio da je zabrinutost zbog rastućeg kibernetičkog napada na američke infrastrukturne sisteme opravdana, jer su se hakeri povezani sa Narodnom oslobodilačkom vojskom (PLA) „ukopali u kompjuterske sisteme u oko dvadesetak kritičnih entiteta tokom prošle godine”.
Mete su uključivale havajsko vodovodno preduzeće, luku na zapadnoj obali, naftovod i gasovod i kompaniju koja upravlja električnom mrežom za državu Teksas.
Nijedan od ovih napada, koji su bili deo kampanje pod nazivom „Volt tajfun“ od strane stručnjaka za sajber bezbednost američke vlade, nije proizveo nikakvu štetu ili velike poremećaje – ali to možda nije bila njihova svrha. Nekoliko izvora je prikazalo Volt Typhoon kao izviđački napor, niz istražnih napada kako bi se testirali odgovori SAD i uspostavili ozbiljniji sajber napadi za budućnost, možda u slučaju velikog sukoba između SAD i Kine, poput bitke za Tajvan.
„Vrlo je jasno da kineski pokušaji da kompromituju kritičnu infrastrukturu delimično se predpozicioniraju da bi mogli da poremete ili unište tu kritičnu infrastrukturu u slučaju sukoba, kako bi sprečili Sjedinjene Države da projektuju moć u Aziji ili da izazovu društveni haos unutar Sjedinjenih Država – da utiču na naše donošenje odluka oko krize“, rekao je Brendon Vels, izvršni direktor Agencije za sajber bezbednost i infrastrukturnu bezbednost (CISA) pri Odeljenju za unutrašnju bezbednost (DHS).
Joe McReinolds iz Jamestown fondacije rekao je da hakeri Volt Typhoon „pokušavaju da izgrade tunele“ u američkoj infrastrukturi koje bi mogli „kasnije koristiti za napad“. Hakeri su dali veliki prioritet izbegavanju otkrivanja i skrivanju od pokušaja da se uđe u trag njihovoj lokaciji.
„Do tada čekate, vršite izviđanje, shvatite da li možete da pređete na industrijske sisteme kontrole ili kritičnije kompanije ili mete uzvodno. I jednog dana, ako dobijete naređenje sa visine, prelazite sa izviđanja na napad“, rekao je Mekrejnolds.
Stručnjaci za sajber bezbednost bili su uznemireni intenzitetom aktivnosti Volt tajfuna oko Havaja, gde je sedište američke Pacifičke flote. Još jedna značajna infiltracija Volt tajfuna dogodila se u Guamu, najbližoj američkoj teritoriji Tajvanu. Lukava taktika koju su hakeri koristili da ostanu neotkriveni sugeriše da su oni postavljali osnovu za ozbiljne buduće napade, umesto da pokušavaju da pošalju poruku tako što će biti primećeni.
Anđelina Džoli apeluje na omladinu da jedu INSEKTE i ŠKORPIJE u novom naporu “ELITE” da “spasi planetu” (VIDEO) https://t.co/5EpoQtmAiS
— Nulta Tačka (@NultaTackaSrb) December 13, 2023
S druge strane, mnoge od meta Volt Typhoon-a bile su manje kompanije koje nisu bile direktno povezane sa vitalnom infrastrukturom, što implicira da su hakeri bili „oportunistički“ – tražili su lake mete, umesto da po volji pogađaju vitalne sisteme.
Prema Vašington postu, predsednik Džo Bajden je trebalo da iznese kinesku hakersku kampanju tokom svog četvorosatnog sastanka sa Si Đinpingom u San Francisku prošlog meseca, ali je, iz nepoznatih razloga, Bajden odustao od pokretanja ove teme.
Microsoft Threat Intelligence je u maju izdao bilten o Volt Typhoon-u, opisujući krivce kao „izvođače koje sponzoriše država sa sedištem u Kini i koji se obično fokusiraju na špijunažu i prikupljanje informacija“.
Prema Microsoft-u, kampanja Volt Typhoon postala je aktivna sredinom 2021. godine, a kritična infrastruktura na Guamu je bila među njenim najranijim ciljevima. Potpuna lista ciljeva obuhvatala je „komunikacije, proizvodnju, komunalne usluge, transport, građevinarstvo, pomorstvo, vladu, informacione tehnologije i sektore obrazovanja“.
Microsoft je primetio nameru hakera da „izvrše špijunažu i zadrže pristup bez otkrivanja što je duže moguće“, što je u skladu sa onim što su izvori iz američke vlade i privatnog obezbeđenja rekli Vašington postu u ponedeljak.
Microsoft je detaljnije objasnio strategiju „života van zemlje“ koju koriste napadači, a koja se svodi na krađu važećih bezbednosnih akreditiva, deponovanje zlonamernog koda u ciljani sistem i kamufliranje tog koda kao normalnog softvera koji obavlja korisne funkcije za sistem. Hakeri Volt Typhoon bili su veoma vešti u tome da se njihova komunikacija sa virusnim kodom uklopi u normalan mrežni saobraćaj, tako da je njihovo prisustvo bilo neprimećeno.
CISA je takođe u maju objavila savet o Volt Typhoon-u i njegovoj taktici „života van zemlje“, uključujući neke korisne savete za otkrivanje kineskog malvera. Mnogi upadi Volt Typhoon-a su na kraju otkriveni traženjem suptilnih, abnormalnih obrazaca u mrežnoj aktivnosti.
Džon Hultkvist, glavni analitičar kompanije za sajber bezbednost Mandiant Intelligence, upozorio je u oktobru da je Volt Tajfun veći i opasniji nego što se prvobitno pretpostavljalo.
„Ova aktivnost Volt Typhoon-a je potpuno nova stvar za njih. Nismo videli mnogo namernog ciljanja u kritičnom infrastrukturnom prostoru iz Kine. Povremeno ćemo ih uhvatiti kako istražuju moć, ali ovo je namerni, dugoročni pokušaj da se infiltriraju u mnoge kritične infrastrukture na način koji ostaje ispod radara“, rekao je on na konferenciji o sajber bezbednosti u Atlanti.
Hultkvist se složio sa analitičarima Agencije za nacionalnu bezbednost (NSA) koji su verovali da kineski hakeri „kopaju u potrazi za mogućnostima stvaranja ometajućeg događaja, u slučaju ratnog scenarija“.
„Ovo je posebno zabrinjavajuće s obzirom na to koliko naporno rade na svojoj operativnoj bezbednosti, koristeći botnete i nula dane da ostanu ispod radara“, rekao je on, klasifikujući Volt tajfun kao još veću pretnju od bliskoistočne sajber špijunaže koja je nameravala da kazni SAD za podršku Izraelu nakon napada Hamasa 7. oktobra.
