Chińscy hakerzy włamują się do amerykańskich dostawców Internetu w tajnej operacji cybernetycznego szpiegostwa

W szybko rozwijającym się świecie, w którym technologia napędza większość naszego codziennego życia, niewidzialne zagrożenie cybernetycznego szpiegostwa rośnie i nikt nie jest na nie odporny. Najnowszy incydent w tej trwającej cyberbitwie rzucił światło na hakerów wspieranych przez Chiny, którzy zinfiltrowali amerykańskich dostawców usług internetowych (ISP), ujawniając luki nawet w silnie ufortyfikowanych sieciach.

Ta kampania, według The Wall Street Journal , jest powiązana z grupą zagrożeń, którą Microsoft śledzi jako Salt Typhoon. Znani również jako FamousSparrow lub GhostEmperor, ci hakerzy zorganizowali wyrafinowany atak na „garstkę” dostawców usług internetowych w celu wydobycia poufnych informacji. Głównymi celami tego typu kampanii są zazwyczaj infrastruktura krytyczna i ten przypadek nie jest wyjątkiem.

Metody hakerów

Raporty sugerują, że ci cyberprzestępcy mogli uzyskać dostęp do samego serca infrastruktury internetowej — routerów Cisco Systems. Routery te odpowiadają za kierowanie znaczną częścią ruchu internetowego, co czyni je idealnym celem dla hakerów sponsorowanych przez państwo, którzy chcą ustanowić stały dostęp do wrażliwych sieci.

Grupa stojąca za tym atakiem, GhostEmperor, po raz pierwszy pojawiła się w cyberprzestrzeni w październiku 2021 r. Początkowo została zidentyfikowana przez Kaspersky, rosyjską firmę zajmującą się cyberbezpieczeństwem, podczas dochodzeń w sprawie operacji wymierzonych w kraje Azji Południowo-Wschodniej. Ich ataki obejmowały wdrożenie potężnego rootkita o nazwie Demodex, co pozwoliło im na prowadzenie szpiegostwa bez wykrycia. Ich działania nie tylko wpłynęły na duże podmioty w Malezji, Wietnamie i Tajlandii, ale również osiągnęły odległe cele w miejscach takich jak Egipt i Etiopia.

Przechodząc do lipca 2024 r., firma zajmująca się cyberbezpieczeństwem Sygnia odkryła kolejny atak GhostEmperor. Tym razem nienazwana organizacja została naruszona, a za jej pośrednictwem jeden z jej partnerów biznesowych również padł ofiarą. Śledztwo wykazało, że grupa wdrożyła kilka narzędzi, w tym zmodyfikowaną wersję Demodex, do komunikacji z serwerami dowodzenia i kontroli, co podkreśla ich techniczne umiejętności i determinację.

Chińskie cybernetyczne szpiegostwo jest ciągłym zagrożeniem

Ujawnienie tego ataku nastąpiło zaledwie kilka dni po tym, jak rząd USA zakłócił działanie dużej sieci botnetów składającej się z 260 000 urządzeń nazwanych „Raptor Train”. Sieć botnetów, obsługiwana przez inną powiązaną z Chinami grupę znaną jako Flax Typhoon, dołącza do serii agresywnych cyberkampanii przypisywanych Chinom w ostatnich latach.

Te nieustanne ataki podkreślają wszechobecne zagrożenie, jakie stwarzają podmioty sponsorowane przez państwo, szczególnie te powiązane z Pekinem. Ich skupienie na infiltracji telekomunikacji, dostawców usług internetowych i innej krytycznej infrastruktury przypomina, jak istotne jest wzmacnianie obrony cyberbezpieczeństwa w różnych sektorach.

Trwałość i kradzież danych

To, co sprawia, że te cyberwłamania są szczególnie alarmujące, to ich strategiczna natura. Głównym celem tych ataków jest uzyskanie długoterminowego, ukrytego dostępu do docelowych sieci. Po dostaniu się do środka atakujący mogą nie tylko wykraść poufne dane, ale także ustawić się w pozycji, która potencjalnie zakłóci lub uszkodzi systemy, gdy będzie to konieczne. Niezależnie od tego, czy celem jest szpiegostwo, czy zdolność do sparaliżowania infrastruktury w przyszłych konfliktach, konsekwencje są ogromne.

Skupienie się na dostawcach usług internetowych i sieciach telekomunikacyjnych jeszcze bardziej podnosi stawkę. Kontrolując lub przechwytując ruch na tak podstawowym poziomie, sprawcy zagrożeń mogą monitorować komunikację, zakłócać usługi i wydobywać wartościowe informacje bez natychmiastowego wykrycia.

Jak firmy mogą się chronić?

Choć żadna obrona nie jest w pełni niezawodna, organizacje mogą podjąć szereg kroków, aby zmniejszyć ryzyko związane z tego typu kampaniami cybernetycznego szpiegostwa:

1. Ciągły monitoring: wdrożenie monitorowania w czasie rzeczywistym pod kątem nietypowej aktywności sieciowej może pomóc we wczesnym wykrywaniu włamań.
2. Zarządzanie poprawkami: regularne aktualizacje i poprawki systemów, zwłaszcza krytycznych komponentów infrastruktury, takich jak routery, mają zasadnicze znaczenie.
3. Architektura Zero Trust: Przejście na model Zero Trust, w którym użytkownicy, urządzenia i systemy muszą być stale uwierzytelniani, może pomóc ograniczyć dostęp do wrażliwych obszarów.
4. Współpraca z ekspertami ds. cyberbezpieczeństwa: Współpraca z niezależnymi specjalistami ds. bezpieczeństwa, takimi jak Sygnia, może pomóc w wykrywaniu zaawansowanych zagrożeń i reagowaniu na nie.

Szersze implikacje

Wraz z rozwojem cyberwojny, stawką nie jest już tylko kradzież danych. Jesteśmy świadkami globalnej gry w szachy, w której kraje takie jak Chiny wykorzystują swoje cybernetyczne możliwości, aby przechylić szalę na swoją korzyść. W tej nowej erze infrastruktura jest celem tak samo jak tradycyjne agencje wywiadowcze lub zasoby wojskowe.

Najnowsze rewelacje na temat grupy GhostEmperor i ich infiltracji amerykańskich dostawców usług internetowych są jaskrawym przypomnieniem, jak kruche mogą być nawet najbardziej wytrzymałe systemy. Dla organizacji na całym świecie nie chodzi tylko o to, by być o krok przed innymi, ale o zrozumienie, że cybernetyczne pole bitwy ciągle ewoluuje — a wrogowie są bliżej, niż nam się wydaje.

W tym nowym świecie gotowość i czujność są kluczowymi mechanizmami obronnymi, które mamy do dyspozycji. Niezależnie od tego, czy jest to działanie rządu, czy inicjatywy korporacyjne, walka z cybernetycznym szpiegostwem sponsorowanym przez państwo jest bitwą, która wymaga ciągłej innowacji, współpracy i uwagi.