США противостоят попыткам Китая атаковать критическую инфраструктуру Запада.
В последние месяцы правительство США запустило операцию по борьбе с масштабной китайской хакерской операцией, которая успешно скомпрометировала тысячи подключенных к интернету устройств. Об этом сообщили Reuters два западных сотрудников безопасности и один человек, знакомый с ситуацией.
Минюст и ФБР получили право на удаленное отключение частей китайской хакерской кампании. Администрация Байдена уделяет особое внимание хакерским атакам, опасаясь не только возможного вмешательства государств в американские выборы в ноябре, но и из-за того, что в 2023 году вымогательское ПО принесло значительный ущерб корпоративной среде США.
Хакерская группа Volt Typhoon, оказавшаяся в центре событий, особенно беспокоит разведчиков. Они считают, что группа является частью более крупных усилий по компрометации критической инфраструктуры Запада, включая морские порты, интернет-провайдеров и коммунальные службы.
Кампания Volt Typhoon впервые обнаружилась в мае 2023 года, однако хакеры расширили масштаб своих операций в конце года, изменив некоторые из своих методик. Распространенный характер хакерских атак привел к серии встреч между Белым домом и частными технологическими компаниями, включая несколько телекоммуникационных и облачных фирм, у которых правительство США просило помощи в отслеживании деятельности киберпреступников.
Такие взломы, по мнению экспертов национальной безопасности, могут позволить Китаю удаленно нарушить работу важных объектов в индо-тихоокеанском регионе, которые в той или иной форме поддерживают или обслуживают военные операции США. Источники сообщают, что американские чиновники беспокоятся о том, что хакеры пытаются подорвать готовность США в случае конфликта между Китаем и Тайванем. Китай, который считает Тайвань своей территорией, в последние годы увеличил свою военную активность возле острова в ответ на то, что Пекин называет «сговором» между Тайванем и США. Министерство юстиции и ФБР не предоставили своих комментариев по ситуации.
Когда западные страны впервые предупредили о Volt Typhoon в мае, представитель китайского МИДа Мао Нин сказал, что обвинения в хакерстве являются «коллективной кампанией дезинформации» со стороны стран «Пяти глаз» (Five Eyes) – группировки стран, обменивающихся разведданными и состоящую из США, Канады, Новой Зеландии, Австралии и Великобритании.
Volt Typhoon работает, захватывая контроль над множеством уязвимых устройств по всему миру, таких как роутеры, модемы и даже подключенные к интернету видеокамеры, чтобы скрыть дальнейшие атаки на более чувствительные цели. При этом захватываемые устройства географически расположены рядом с портом или интернет-провайдером, затем хакеры используют их для дальнейшего внедрения в целевую цель. Такой ботнет вызывает особую озабоченность у служб безопасности Запада, поскольку для ИБ-команды трафик выглядит как обычный пользователь, находящийся поблизости.
Использование ботнетов как правительственными хакерами, так и обычными киберпреступниками для маскировки своих киберопераций не является новым явлением. Такой подход часто используется, когда злоумышленник хочет быстро атаковать множество жертв одновременно или стремится скрыть свои источники.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках