Kinesiske hackere retter seg mot amerikanske internettleverandører i stille cyberangrep

Et spennende nytt kapittel i cyberkrigføring har utspilt seg, ettersom kinesisk-støttede hackere bryter det digitale forsvaret til flere amerikanske internettleverandører (ISP). I en alarmerende avsløring har en skjult kampanje rettet mot å infiltrere kritisk infrastruktur vært i gang, med eksperter som nå kjemper for å avdekke hele omfanget av skaden.

Ifølge en fersk rapport fra The Wall Street Journal tilskrives dette angrepet en sofistikert gruppe hackere som spores av Microsoft under kodenavnet Salt Typhoon. Disse nettkriminelle er også kjent under deres aliaser, FamousSparrow og GhostEmperor, og er en del av et større nettverk av statsstøttede trusselaktører knyttet til Beijing.

Den stille sabotasjen av amerikanske nettverk

Det som gjør denne cyberoperasjonen spesielt skremmende er omfanget av dens ambisjoner. Kilder nær etterforskningen antyder at disse hackerne kan ha penetrert kjerneruterne til Cisco Systems, enheter som kontrollerer store deler av internetttrafikk over hele USA. Dette er ikke vanlige brudd. Å få tilgang til dette nivået av infrastruktur betyr at de i teorien kan overvåke, omdirigere eller til og med ødelegge internettkommunikasjon uten at noen legger merke til det med en gang.

Hackernes hovedmål ser ut til å være å opprettholde langsiktig tilgang, slik at de kan hente sensitive data etter ønske eller potensielt sette i gang ødeleggende cyberangrep langs veien. Denne typen operasjoner er mer enn bare et brudd – de er en saktebrennende sabotasje, stille og rolig i bakgrunnen som ligger på lur.

The Ghost in the Machine - Hvem er GhostEmperor?

Gruppen bak dette nervepirrende angrepet, GhostEmperor, er ikke ny på scenen. Faktisk ble de først identifisert av cybersikkerhetsfirmaet Kaspersky i 2021. Den gang utførte gruppen allerede svært unnvikende cyberoperasjoner over hele Sørøst-Asia. Ved å bruke et snikende rootkit kjent som Demodex, hadde de infiltrert nettverk i årevis før aktivitetene deres ble oppdaget.

Land som Thailand, Vietnam og Malaysia var blant deres første ofre. Men GhostEmperors rekkevidde var ikke begrenset til Asia. Mål spredt over hele kloden, fra Afrika til Midtøsten, med institusjoner i Egypt, Etiopia og Afghanistan som også faller offer. Hvert angrep fulgte et kjent mønster: forsiktig inntrenging, etterfulgt av stille etablering av fotfeste innenfor kritiske systemer.

Senest, i juli 2024, avslørte cybersikkerhetsfirmaet Sygnia at en av kundene deres hadde blitt kompromittert av denne skyggefulle gruppen. Hackerne utnyttet tilgangen sin til å penetrere ikke bare selskapet, men også forretningspartnerens nettverk, ved å bruke ulike verktøy for å kommunisere med deres kommando-og-kontroll-servere. Foruroligende nok ble et av disse verktøyene identifisert som en variant av Demodex rootkit, som viser gruppens fortsatte utvikling i hackingteknikkene.

Et nasjonalstatsdrevet angrep på infrastruktur

Dette bruddet på amerikanske Internett-leverandører er ikke en isolert hendelse. Det er en del av en bredere, dypt foruroligende trend med kinesisk statsstøttede angrep på kritisk infrastruktur. Bare dager før dette angrepet kom for dagen, demonterte den amerikanske regjeringen et 260 000-enheters botnett kjent som "Raptor Train", et annet cybervåpen utplassert av en Beijing-støttet gruppe, Flax Typhoon. Dette botnettet, som er i stand til å lansere omfattende cyberforstyrrelser, er en nøktern påminnelse om omfanget av disse truslene.

Den kinesiske regjeringens involvering i disse kampanjene peker på en langsiktig strategi rettet mot å destabilisere rivaler og hevde kontroll over viktige globale nettverk. Dette handler ikke bare om å spionere på klassifisert data eller å stjele åndsverk – det handler om å få muligheten til å kontrollere eller forstyrre viktige tjenester, dersom de geopolitiske vindene skulle skifte.

Hva står på spill?

Implikasjonene av disse angrepene er rett og slett skremmende. Ved å få tilgang til Internett-leverandører kan hackere overvåke store mengder internettrafikk og kommunikasjon. Fra bedrifter til enkeltpersoner, ingen er immune mot potensiell datainnsamling. Enda mer bekymringsfull er tanken på hva som kan skje hvis disse hackerne bestemmer seg for å utnytte tilgangen deres til et mer destruktivt formål. Se for deg et scenario der millioner av mennesker plutselig blir avskåret fra internett, eller enda verre, kritiske systemer – banker, sykehus eller energinett – blir tatt offline.

Faren for disse angrepene er ikke alltid i umiddelbar ettertid, men i en ukjent fremtid. Disse hackerne spiller det lange spillet, og planter frø i dag som kan vokse til en fullstendig katastrofe i morgen.

Hvordan stopper vi dette?

Sannheten er at det ikke finnes noen sølvkule for å stoppe statsstøttede cyberangrep. Eksperter er imidlertid enige om at årvåkenhet er nøkkelen. Amerikanske selskaper, spesielt de som er involvert i kritisk infrastruktur, må doble ned på sine cybersikkerhetstiltak. Dette inkluderer:

1. Rigorøs nettverksovervåking: Sanntidsanalyse av nettverkstrafikk kan bidra til å oppdage mistenkelig aktivitet tidlig, og begrense skaden fra brudd.

Cyberkrigføringens skremmende fremtid

Etter hvert som digitale grenser blir mer porøse, fortsetter cyberkrigføring å utvikle seg til en farlig slagmark hvor ingen virkelig er trygge. Kinesisk-støttede hackergrupper som GhostEmperor retter seg ikke bare mot offentlige etater eller militære installasjoner – de infiltrerer nettverkene vi er avhengige av hver dag.

Den mest urovekkende delen av alt? De gjør det stille, og mesteparten av tiden vil vi ikke engang vite det før det er for sent.

Dette er den nye virkeligheten vi lever i: en verden der internett, en gang et verktøy for global tilkobling og fremgang, også har blitt en lekeplass for spionasje, forstyrrelser og maktspill. Ettersom statsstøttede aktører fortsetter å finpusse ferdighetene sine, må vi møte den skremmende muligheten for at vår digitale verden ikke lenger er under vår kontroll.