Китайски хакери се насочват към американските интернет доставчици в тиха кибератака
Разкри се нова смразяваща глава в кибервойната, тъй като подкрепяни от Китай хакери пробиват цифровите защити на няколко американски доставчици на интернет услуги (ISP). В тревожно разкритие се води тайна кампания, насочена към проникване в критична инфраструктура, като експертите се надпреварват да разкрият пълния размер на щетите.
Според скорошен доклад на The Wall Street Journal тази атака се приписва на усъвършенствана група хакери, проследявана от Microsoft под кодовото име Salt Typhoon. Известни също с псевдонимите си FamousSparrow и GhostEmperor, тези киберпрестъпници са част от по-голяма мрежа от държавно спонсорирани заплахи, свързани с Пекин.
Съдържание
Тихият саботаж на американските мрежи
Това, което прави тази кибероперация особено ужасяваща, е самият мащаб на нейната амбиция. Източници, близки до разследването, предполагат, че тези хакери може да са проникнали в основните рутери на Cisco Systems, устройства, които контролират огромни участъци от интернет трафик в САЩ. Това не са обикновени пробиви. Получаването на достъп до това ниво на инфраструктура означава, че те биха могли на теория да наблюдават, пренасочват или дори да осакатяват интернет комуникациите, без никой да забележи веднага.
Основната цел на хакерите изглежда е поддържането на дългосрочен достъп, което им позволява да източват чувствителни данни по желание или потенциално да стартират опустошителни кибератаки по пътя. Тези видове операции са нещо повече от просто пробив - те са бавно изгарящ саботаж, тихо тлеещ на заден план, дебнещ в засада.
Призракът в машината - кой е GhostEmperor?
Групата зад тази изнервяща атака, GhostEmperor, не е нова на сцената. Всъщност те бяха идентифицирани за първи път от фирмата за киберсигурност Kaspersky през 2021 г. Тогава групата вече извършваше силно уклончиви кибер операции в Югоизточна Азия. Използвайки скрит руткит, известен като Demodex, те са прониквали в мрежи години наред, преди дейността им да бъде разкрита.
Държави като Тайланд, Виетнам и Малайзия бяха сред първите им жертви. Но обхватът на GhostEmperor не беше ограничен до Азия. Целите се разпространяват по целия свят, от Африка до Близкия изток, с институции в Египет, Етиопия и Афганистан, които също стават жертва. Всяка атака следваше познат модел: внимателно проникване, последвано от тихо установяване на опорна точка в критични системи.
Съвсем наскоро, през юли 2024 г., фирмата за киберсигурност Sygnia разкри, че един от нейните клиенти е бил компрометиран от тази сенчеста група. Хакерите са използвали достъпа си, за да проникнат не само в компанията, но и в мрежата на нейния бизнес партньор, използвайки различни инструменти за комуникация с техните командно-контролни сървъри. Обезпокоително е, че един от тези инструменти беше идентифициран като вариант на руткита Demodex, демонстрирайки непрекъснатото развитие на групата в нейните хакерски техники.
Движено от националната държава атака срещу инфраструктурата
Това нарушение на американски интернет доставчици не е изолиран инцидент. Това е част от по-широка, дълбоко обезпокоителна тенденция на спонсорирани от китайската държава атаки срещу критична инфраструктура. Само дни преди тази атака да излезе наяве, правителството на САЩ демонтира ботнет с 260 000 устройства, известен като „Raptor Train“, друго кибер оръжие, разгърнато от подкрепяна от Пекин група, Flax Typhoon. Този ботнет, способен да предизвика широко разпространени кибер смущения, е отрезвяващо напомняне за мащаба на тези заплахи.
Участието на китайското правителство в тези кампании показва дългосрочна стратегия, насочена към дестабилизиране на съперниците и утвърждаване на контрол над ключови глобални мрежи. Тук не става дума само за шпиониране на класифицирани данни или кражба на интелектуална собственост – става въпрос за придобиване на способността да се контролират или прекъсват основни услуги, ако геополитическите ветрове се променят.
Какво е заложено на карта?
Последствията от тези атаки са направо ужасяващи. Получавайки достъп до интернет доставчиците, хакерите могат да наблюдават огромно количество интернет трафик и комуникации. От фирми до физически лица, никой не е имунизиран срещу потенциално събиране на данни. Още по-тревожна е мисълта какво може да се случи, ако тези хакери решат да използват достъпа си за по-разрушителна цел. Представете си сценарий, при който милиони хора внезапно са прекъснати от интернет или още по-лошо, критични системи – банки, болници или енергийни мрежи – са изключени.
Опасността от тези атаки не винаги е непосредствено след тях, а в неизвестното бъдеще. Тези хакери играят дълга игра, засаждайки семена днес, които могат да прераснат в пълна катастрофа утре.
Как да спрем това?
Истината е, че няма сребърен куршум, който да спре спонсорираните от държавата кибератаки. Експертите обаче са съгласни, че бдителността е ключова. Американските компании, особено тези, които участват в критична инфраструктура, трябва да удвоят своите мерки за киберсигурност. Това включва:
- Строго наблюдение на мрежата: Анализът в реално време на мрежовия трафик може да помогне за откриване на подозрителна дейност на ранен етап, ограничавайки щетите от пробиви.
Смразяващото бъдеще на кибер войната
Тъй като цифровите граници стават все по-порести, кибервойната продължава да се превръща в опасно бойно поле, където никой не е наистина в безопасност. Подкрепяни от Китай хакерски групи като GhostEmperor не са насочени само към правителствени агенции или военни инсталации – те проникват в мрежите, на които разчитаме всеки ден.
Най-неприятната част от всичко? Те го правят тихо и през повечето време дори няма да разберем, докато не стане твърде късно.
Това е новата реалност, в която живеем: свят, в който интернет, който някога е бил инструмент за глобална връзка и напредък, също се е превърнал в площадка за шпионаж, смущения и игри на власт. Тъй като спонсорираните от държавата актьори продължават да усъвършенстват уменията си, трябва да се изправим пред смразяващата възможност нашият дигитален свят вече да не е под наш контрол.