Kinesiske hackere retter sig mod amerikanske internetudbydere i et stille cyberangreb

Et rystende nyt kapitel i cyberkrigsførelse har udspillet sig, da kinesisk-støttede hackere bryder det digitale forsvar fra flere amerikanske internetudbydere (ISP'er). I en alarmerende afsløring har en hemmelig kampagne rettet mod at infiltrere kritisk infrastruktur været i gang, hvor eksperter nu er i gang med at afdække det fulde omfang af skaden.

Ifølge en nylig rapport fra The Wall Street Journal tilskrives dette angreb en sofistikeret gruppe af hackere, der spores af Microsoft under kodenavnet Salt Typhoon. Også kendt under deres aliaser, FamousSparrow og GhostEmperor, er disse cyberkriminelle en del af et større netværk af statssponsorerede trusselsaktører forbundet til Beijing.

Den stille sabotage af amerikanske netværk

Det, der gør denne cyberoperation særligt skræmmende, er omfanget af dens ambitioner. Kilder tæt på undersøgelsen tyder på, at disse hackere kan have trængt ind i kernerouterne i Cisco Systems, enheder, der kontrollerer store dele af internettrafik i hele USA. Dette er ikke almindelige brud. At få adgang til dette niveau af infrastruktur betyder, at de i teorien kan overvåge, omdirigere eller endda lamme internetkommunikation, uden at nogen opdager det med det samme.

Hackernes hovedformål ser ud til at være at opretholde langsigtet adgang, hvilket gør dem i stand til at suge følsomme data efter forgodtbefindende eller potentielt iværksætte ødelæggende cyberangreb hen ad vejen. Disse typer operationer er mere end blot et brud – de er en langsomt forbrændings-sabotage, der stille og roligt ligger i baggrunden og venter.

The Ghost in the Machine - Hvem er GhostEmperor?

Gruppen bag dette nervøse angreb, GhostEmperor, er ikke ny på scenen. Faktisk blev de først identificeret af cybersikkerhedsfirmaet Kaspersky i 2021. Dengang udførte gruppen allerede meget undvigende cyberoperationer i hele Sydøstasien. Ved at bruge et snigende rootkit kendt som Demodex, havde de infiltreret netværk i årevis, før deres aktiviteter blev opdaget.

Lande som Thailand, Vietnam og Malaysia var blandt deres første ofre. Men GhostEmperors rækkevidde var ikke begrænset til Asien. Mål spredt over hele kloden, fra Afrika til Mellemøsten, med institutioner i Egypten, Etiopien og Afghanistan, der også falder offer. Hvert angreb fulgte et velkendt mønster: forsigtig indtrængen, efterfulgt af den stille etablering af fodfæste inden for kritiske systemer.

Senest, i juli 2024, afslørede cybersikkerhedsfirmaet Sygnia, at en af dens kunder var blevet kompromitteret af denne skyggefulde gruppe. Hackerne udnyttede deres adgang til at trænge ind i ikke kun virksomheden, men også dens forretningspartners netværk ved at bruge forskellige værktøjer til at kommunikere med deres kommando-og-kontrol-servere. Foruroligende nok blev et af disse værktøjer identificeret som en variant af Demodex rootkit, der viser gruppens fortsatte udvikling i dets hacking-teknikker.

Et nationalstatsdrevet angreb på infrastruktur

Dette brud på amerikanske internetudbydere er ikke en isoleret hændelse. Det er en del af en bredere, dybt foruroligende tendens til kinesisk statssponseret angreb på kritisk infrastruktur. Få dage før dette angreb kom frem, afmonterede den amerikanske regering et botnet på 260.000 enheder kendt som "Raptor Train", et andet cybervåben indsat af en Beijing-støttet gruppe, Flax Typhoon. Dette botnet, der er i stand til at lancere udbredte cyberforstyrrelser, er en nøgtern påmindelse om omfanget af disse trusler.

Den kinesiske regerings involvering i disse kampagner peger på en langsigtet strategi, der sigter mod at destabilisere rivaler og hævde kontrol over vigtige globale netværk. Dette handler ikke kun om at spionere på klassificerede data eller stjæle intellektuel ejendom – det handler om at opnå evnen til at kontrollere eller forstyrre væsentlige tjenester, hvis de geopolitiske vinde skulle skifte.

Hvad er der på spil?

Konsekvenserne af disse angreb er direkte skræmmende. Ved at få adgang til internetudbydere kan hackere overvåge enorme mængder internettrafik og kommunikation. Fra virksomheder til enkeltpersoner, ingen er immune over for potentiel dataindsamling. Endnu mere bekymrende er tanken om, hvad der kunne ske, hvis disse hackere beslutter sig for at udnytte deres adgang til et mere destruktivt formål. Forestil dig et scenarie, hvor millioner af mennesker pludselig er afskåret fra internettet, eller endnu værre, kritiske systemer – banker, hospitaler eller energinet – bliver taget offline.

Faren for disse angreb er ikke altid umiddelbart efter, men i den ukendte fremtid. Disse hackere spiller det lange spil og sår frø i dag, der kan vokse til en fuldstændig katastrofe i morgen.

Hvordan stopper vi dette?

Sandheden er, at der ikke er nogen sølvkugle til at stoppe statssponsorerede cyberangreb. Eksperter er dog enige om, at årvågenhed er nøglen. Amerikanske virksomheder, især dem, der er involveret i kritisk infrastruktur, skal fordoble deres cybersikkerhedsforanstaltninger. Dette omfatter:

1. Strenge netværksovervågning: Realtidsanalyse af netværkstrafik kan hjælpe med at opdage mistænkelig aktivitet tidligt og begrænse skaden fra brud.

Cyberkrigsførelsens skræmmende fremtid

Efterhånden som digitale grænser bliver mere porøse, fortsætter cyberkrigsførelsen med at udvikle sig til en farlig slagmark, hvor ingen virkelig er sikker. Kinesisk-støttede hackergrupper som GhostEmperor retter sig ikke kun mod statslige agenturer eller militære installationer – de infiltrerer de netværk, vi er afhængige af hver dag.

Den mest foruroligende del af det hele? De gør det stille og roligt, og det meste af tiden ved vi det ikke, før det er for sent.

Dette er den nye virkelighed, vi lever i: en verden, hvor internettet, engang et værktøj til global forbindelse og fremskridt, også er blevet en legeplads for spionage, disruption og magtspil. Mens statssponsorerede aktører fortsætter med at finpudse deres færdigheder, må vi se den skræmmende mulighed for, at vores digitale verden ikke længere er under vores kontrol.