Čínští hackeři ohrožují USA, cílí hlavně na kritickou infrastrukturu a bezpečnost země
USA a potažmo celý západní svět v současnosti čelí kybernetickým bezpečnostním hrozbám, které by v případě úspěchu mohly mít extrémní dopad na fungování kritické infrastruktury. Mezi nejnebezpečnější hackery pak patří čínské či čínskou vládou podporované skupiny, jež Američané označují za „epochální“ hrozbu.
redaktorka
To, že má západní svět velký problém s kybernetickými ohroženími kritické infrastruktury, mohli několikrát na vlastní kůži okusit i občané Česka, když se v minulých letech stali svědky útoků na nemocnice a další instituce. Za těmito aktivitami stojí ve většině případů mimoevropské hackerské skupiny, které cílí především (nikoliv však pouze) na finanční profit. Avšak některé z těchto útoků byly podle ministerstva zahraničí v režii ruské tajné služby GRU.
Kromě ruských či postsovětských hackerských skupin působí v euroatlanském prostoru také skupiny severokorejské a čínské, které jsou v současné době považovány za nejnebezpečnější, a to zejména pro samotné USA. V posledních měsících američtí zpravodajci uvedli, že hackeři podporovaní čínskou vládou pronikají hluboko do sítí kritické infrastruktury USA, včetně dodavatelů vody, energie a dopravy. Cílem je podle úředníků připravit půdu pro potenciálně ničivé kybernetické útoky v případě budoucího konfliktu mezi Čínou a USA, například kvůli možné čínské invazi na Tchaj-wan.
„Čínští hackeři zaujímají pozice v americké infrastruktuře a připravují se na to, aby způsobili spoušť a reálné škody americkým občanům a komunitám, pokud nebo až se Čína rozhodne udeřit,“ řekl zákonodárcům na začátku tohoto roku ředitel FBI Christopher Wray. Ve snaze zabránit budoucím problémům tak americká vláda a její spojenci podnikli a podnikají konkrétní kroky, například proti rodině čínských hackerských skupin s názvem Typhoon (Tajfun) a zároveň zveřejnili nové podrobnosti o hrozbách, které představují.
V lednu tohoto roku USA například oznámily, že se jim podařilo rozbít skupinu čínských vládních hackerů Volt Typhoon, která měla za úkol připravit půdu pro ničivé kybernetické útoky. Konkrétně se jim podařilo narušit botnet, tedy síť počítačů infikovaných speciálním softwarem, který je pak řízen z jednoho centra. Později v září FBI podle převzala kontrolu nad botnetem provozovaným jinou čínskou hackerskou skupinou nazvanou Flax Typhoon, která se maskovala jako soukromá společnost v Pekingu a jejímž úkolem bylo pomáhat skrývat aktivity čínských vládních hackerů. Od té doby se však objevila nová hackerská skupina podporovaná Čínou s názvem Salt Typhoon, která je schopna shromažďovat zpravodajské informace o Američanech (a potenciálních cílech amerického sledování) kompromitací odposlechových systémů amerických poskytovatelů telefonních a internetových služeb.
Web TechCrunch se podíval na tyto konkrétní hackerské skupiny trochu podrobněji. Co všechno o nich tedy zatím víme?
Volt Typhoon
Volt Typhoon představuje nový druh hackerských skupin podporovaných Čínou. Podle ředitele FBI se již nezaměřují pouze na krádeže citlivých amerických tajemství, ale spíše se snaží narušit schopnost mobilizace americké armády. Společnost Microsoft poprvé identifikovala Volt Typhoon v květnu 2023 a zjistila, že hackeři se od poloviny roku 2021 zaměřovali na síťová zařízení, jako jsou routery, firewally a VPN, a narušovali je v rámci pokračující a koordinované snahy proniknout hlouběji do kritické infrastruktury USA. Ve skutečnosti je pravděpodobné, že hackeři působili mnohem déle, klidně i pět let.
V měsících následujících po zprávě Microsoft pak Volt Typhoon napadl tisíce zařízení připojených k internetu. Botnet se hackerům podařilo vytvořit tak, že zneužili zranitelností v zařízeních připojených k internetu, která už měla oficiálně ukončenou podporu a nedostávala tedy bezpečnostní aktualizace. Skupině se tak následně podařilo kompromitovat IT prostředí několika odvětví kritické infrastruktury, včetně letectví, vodárenství, energetiky a dopravy, a předpřipravit se tak na aktivaci budoucích potenciálních rušivých kybernetických útoků. FBI však uvedla, že se jí podařilo odstranit malware z unesených routerů, čímž přerušila spojení čínské hackerské skupiny s botnetem.
„Tato skupina neprovádí tiché shromažďování zpravodajských informací a krádeže tajemství, které byly v USA normou. Sonduje citlivou kritickou infrastrukturu, aby mohla na povel narušit naše služby,“ řekl k tomu John Hultquist, hlavní analytik bezpečnostní firmy Mandiant.
Flax Typhoon
Flax Typhoon, na který poprvé upozornila zpráva Microsoft v srpnu 2023, je další hackerskou skupinou (aktivní dokonce od roku 2021) podporovanou Čínou, která se primárně zaměřuje kritickou infrastrukturu na Tchaj-wanu. Nicméně její aktivity zaměřené na americké a zahraniční společnosti se podle amerických úřadů odehrály pod rouškou veřejně obchodovatelné IT společnosti Integrity Technology Group se sídlem v Pekingu, jenž má prokazatelné vazby na čínskou vládu. USA se tyto útoky podařilo potlačit, když převzaly kontrolu nad Flax Typhoon botnetem, který využíval vlastní variantu nechvalně známého malwaru Mirai, tvořeného stovkami tisíc zařízení připojených k internetu.
Američtí představitelé tehdy uvedli, že botnet ovládaný Flax Typhoon byl používán k provádění škodlivých kybernetických aktivit maskovaných jako běžný internetový provoz z infikovaných IoT zařízení (zařízení tzv. internetu věcí). Navíc botnet provozovaný skupinou Flax Typhoon umožňoval dalším hackerům podporovaným čínskou vládou nabourávat se do sítí v USA a po celém světě s cílem krást informace a ohrožovat naši infrastrukturu.
Salt Typhoon
Teprve v minulých měsících však byla odhalena skupina s ještě daleko výraznějším bezpečnostním rizikem. Jmenuje se Salt Typhoon a podle deníku Wall Street Journal (WSJ) tato hackerská skupina napojená na Čínu pravděpodobně kompromitovala odposlouchávací systémy několika amerických poskytovatelů telekomunikačních služeb a internetu, včetně společností AT&T, Lumen (dříve CenturyLink) a Verizon. Salt Typhoon mohl získat přístup do těchto organizací pomocí napadených routerů Cisco.
Ačkoli rozsah kompromitace poskytovatele internetu zůstává neznámý, deník s odvoláním na zdroje z oblasti národní bezpečnosti uvedl, že narušení může být potenciálně katastrofální. Vzhledem k tomu, že se skupina nabourala do systémů, které orgány činné v trestním řízení používají k soudem povolenému shromažďování údajů o mnoha různých lidech, získal Salt Typhoon přístup k datům a systémům, v nichž je uložena velká část požadavků americké vlády, a to včetně možných identit čínských cílů amerického sledování.
Americká vláda je momentálně v počáteční fázi vyšetřování, takže zatím není jasné, kdy přesně k narušení došlo. Ale podle WSJ mohli mít hackeři přístup k odposlechovým systémům poskytovatelů internetu několik měsíců nebo i déle.