Китайские хакеры взломали американских интернет-провайдеров в ходе тайной операции по кибершпионажу

В быстро меняющемся мире, где технологии определяют большую часть нашей повседневной жизни, невидимая угроза кибершпионажа растет, и никто не застрахован. Последний инцидент в этой продолжающейся кибербитве высветил поддерживаемых Китаем хакеров, которые проникли в американских интернет-провайдеров (ISP), выявив уязвимости даже в высоко защищенных сетях.

Эта кампания, по данным The Wall Street Journal , связана с группой угроз, которую Microsoft отслеживает как Salt Typhoon. Также известные как FamousSparrow или GhostEmperor, эти хакеры организовали сложную атаку на «несколько» интернет-провайдеров в попытке извлечь конфиденциальную информацию. Основными целями таких кампаний обычно являются критически важные инфраструктуры, и этот случай не является исключением.

Методы хакеров

Отчеты предполагают, что эти киберпреступники могли получить доступ к самому сердцу интернет-инфраструктуры — маршрутизаторам Cisco Systems. Эти маршрутизаторы отвечают за направление значительной части интернет-трафика, что делает их идеальной целью для спонсируемых государством хакеров, которые стремятся установить постоянный доступ к чувствительным сетям.

Группа, стоящая за этой атакой, GhostEmperor, впервые оказалась в центре внимания киберпространства в октябре 2021 года. Первоначально ее обнаружила российская фирма по кибербезопасности «Лаборатория Касперского» во время расследований операций, нацеленных на страны Юго-Восточной Азии. Их атаки включали развертывание мощного руткита под названием Demodex, что позволяло им осуществлять шпионаж незамеченными. Их усилия не только затронули крупные организации в Малайзии, Вьетнаме и Таиланде, но и достигли отдаленных целей в таких местах, как Египет и Эфиопия.

Перенесемся в июль 2024 года: фирма по кибербезопасности Sygnia раскрыла еще одну атаку GhostEmperor. На этот раз была скомпрометирована неназванная организация, и через нее один из ее деловых партнеров также стал жертвой. Расследования показали, что группа использовала несколько инструментов, включая модифицированную версию Demodex, для связи с командно-контрольными серверами, что подчеркивает их техническое мастерство и решимость.

Китайский кибершпионаж — постоянная угроза

Раскрытие этой атаки произошло всего через несколько дней после того, как правительство США прервало работу крупного ботнета из 260 000 устройств, получившего название «Raptor Train». Этот ботнет, управляемый другой связанной с Китаем группой, известной как Flax Typhoon, пополняет серию агрессивных киберкампаний, которые в последние годы приписывались Китаю.

Эти беспощадные атаки подчеркивают постоянную опасность, исходящую от спонсируемых государством субъектов, особенно тех, которые связаны с Пекином. Их сосредоточенность на проникновении в телекоммуникации, интернет-провайдеров и другую критическую инфраструктуру служит напоминанием о том, насколько важно укреплять защиту кибербезопасности во всех секторах.

Настойчивость и кража данных

Что делает эти кибервторжения особенно тревожными, так это их стратегический характер. Основная цель этих атак — получить долгосрочный, скрытый доступ к целевым сетям. Оказавшись внутри, злоумышленники могут не только выкачивать конфиденциальные данные, но и позиционировать себя так, чтобы потенциально нарушать или повреждать системы, когда это необходимо. Является ли целью шпионаж или возможность парализовать инфраструктуру в будущих конфликтах, последствия огромны.

Сосредоточение на интернет-провайдерах и телекоммуникационных сетях еще больше повышает ставки. Контролируя или перехватывая трафик на таком фундаментальном уровне, субъекты угроз могут контролировать коммуникации, нарушать работу служб и извлекать ценную информацию без немедленного обнаружения.

Как компании могут защитить себя?

Хотя ни одна защита не является абсолютно надежной, организации могут предпринять несколько шагов для снижения риска подобных кампаний кибершпионажа:

1. Непрерывный мониторинг: реализация мониторинга в реальном времени необычной сетевой активности может помочь обнаружить вторжения на ранней стадии.
2. Управление исправлениями: Регулярные обновления и исправления систем, особенно критически важных компонентов инфраструктуры, таких как маршрутизаторы, имеют важное значение.
3. Архитектура нулевого доверия: переход к модели нулевого доверия, при которой пользователи, устройства и системы должны постоянно проходить аутентификацию, может помочь ограничить доступ к конфиденциальным областям.
4. Сотрудничество с экспертами по кибербезопасности: взаимодействие со сторонними специалистами по безопасности, как в случае с Sygnia, может помочь выявить сложные угрозы и отреагировать на них.

Более широкие последствия

По мере развития кибервойны ставки уже не ограничиваются кражей данных. Мы наблюдаем глобальную шахматную игру, в которой такие страны, как Китай, используют свои кибервозможности, чтобы склонить чашу весов в свою пользу. В эту новую эпоху инфраструктура становится такой же целью, как и традиционные разведывательные агентства или военные активы.

Последние разоблачения группы GhostEmperor и ее проникновения в американских интернет-провайдеров — суровое напоминание о том, насколько хрупкими могут быть даже самые надежные системы. Для организаций по всему миру важно не просто оставаться на шаг впереди, но и понимать, что киберполе боя постоянно развивается, а враги ближе, чем мы думаем.

В этом новом мире готовность и бдительность являются ключевыми защитными механизмами, которые у нас есть в распоряжении. Будь то действия правительства или корпоративные инициативы, борьба с государственным кибершпионажем — это битва, требующая постоянных инноваций, сотрудничества и внимания.