Jako sponsorowani przez państwo hakerzy działając w imieniu Rosji, Iranu i Korei Północnej, od lat sieją spustoszenie za pomocą destrukcyjnych cyberataków na całym świecie, chińscy hakerzy wojskowi i wywiadowi w dużej mierze utrzymali reputację ograniczania swoich włamań do szpiegostwa. Ale kiedy ci cyberszpiedzy naruszają krytyczną infrastrukturę w Stanach Zjednoczonych — a konkretnie na terytorium USA w sąsiedztwie Chin — szpiegostwo, planowanie awaryjne konfliktów i eskalacja cyberwojny zaczynają wyglądać niebezpiecznie podobnie.
W środę Microsoft ujawnił w poście na blogu, że wyśledził grupę hakerów, których uważa za sponsorowanych przez chińskie państwo, którzy od 2021 r. produkcja, media, budownictwo i transport.
Intencje grupy, którą Microsoft nazwał Volt Typhoon, mogą być po prostu szpiegowskie, biorąc pod uwagę, że nie wydaje się, aby wykorzystywała swój dostęp do tych krytycznych sieci do przeprowadzania niszczenia danych lub innych ofensywnych ataków. Microsoft ostrzega jednak, że charakter ataków grupy, w tym na terytorium Pacyfiku, które może odegrać kluczową rolę w konflikcie militarnym lub dyplomatycznym z Chinami, może jeszcze umożliwić tego rodzaju zakłócenia.
„Zaobserwowane zachowanie sugeruje, że cyberprzestępca zamierza szpiegować i utrzymywać dostęp bez wykrycia tak długo, jak to możliwe” — czytamy we wpisie na blogu firmy. Ale łączy to stwierdzenie z oceną z „umiarkowaną pewnością”, że hakerzy „dążą do rozwoju zdolności, które mogłyby zakłócić krytyczną infrastrukturę komunikacyjną między Stanami Zjednoczonymi a regionem Azji podczas przyszłych kryzysów”.
Należąca do Google firma zajmująca się bezpieczeństwem cybernetycznym, Mandiant, twierdzi, że wyśledziła również część włamań grupy i oferuje podobne ostrzeżenie dotyczące koncentracji grupy na infrastrukturze krytycznej: „Nie ma wyraźnego związku z własnością intelektualną lub informacjami o polityce, których oczekujemy od operacji szpiegowskiej” mówi John Hultquist, który kieruje analizą zagrożeń w Mandiant. „To prowadzi nas do pytania, czy oni tam są ponieważ cele są krytyczne. Martwimy się, że skupienie się na infrastrukturze krytycznej jest przygotowaniem do potencjalnego destrukcyjnego lub destrukcyjnego ataku”.
W poście na blogu Microsoft przedstawił szczegóły techniczne włamań hakerów, które mogą pomóc obrońcom sieci w ich wykryciu i eksmisji: Grupa na przykład używa zhakowanych routerów, zapór ogniowych i innych urządzeń „krawędziowych” sieci jako serwerów proxy do rozpoczęcia hakowania – kierowanie na urządzenia, w tym sprzedawane przez producentów sprzętu ASUS, Cisco, D-Link, NETGEAR i Zyxel. Grupa często wykorzystuje również dostęp ze zhakowanych kont legalnych użytkowników zamiast własnego złośliwego oprogramowania, aby utrudnić wykrycie jej działalności, sprawiając wrażenie niegroźnej.
Wtopienie się w regularny ruch sieciowy celu w celu uniknięcia wykrycia jest cechą charakterystyczną podejścia Volt Typhoon i innych chińskich aktorów w ostatnich latach, mówi Marc Burnard, starszy konsultant ds. badań nad bezpieczeństwem informacji w Secureworks. Podobnie jak Microsoft i Mandiant, firma śledzi grupę i obserwuje kampanie. Dodał, że grupa wykazała się „nieustannym skupieniem się na adaptacji”, aby kontynuować swoje szpiegostwo.
