Riaditeľ FBI varuje pred čínskou kybernetickou hrozbou: Skupina Volt Pythoon sa snažila poškodiť americkú infraštruktúru

Peking sa snaží prostredníctvom kybernetických útokov preniknúť do systémov civilnej infraštruktúry USA a poškodiť ich. Čína chce tak získať kontrolu nad americkou infraštruktúrou a v prípade vypuknutia konfliktu vyvolať v krajine spoločenský chaos. Operáciu vykonáva hackerská skupina Volt Typhoon podporovaná čínskou vládou.

Čína zintenzívnila kyberšpionáž proti USA s cieľom poškodiť kritické subjekty americkej infraštruktúry. Predstavitelia ázijského štátu tým chcú získať výhodné postavenie v prípade vypuknutia geopolitickej krízy medzi Washingtonom a Pekingom. Koncom januára sa Federálnemu úradu pre vyšetrovanie (FBI) a americkému ministerstvu spravodlivosti podarilo operáciu narušiť a zastaviť.

Čínska operácia zahŕňala využitie botnetov na infiltrovanie stoviek routerov malých podnikov, dodávateľov alebo sietí miestnych samospráv. Konečným cieľom bola kritická infraštruktúra, najmä v odvetví komunikácií, energetiky, dopravy, vodných systémov a odpadových vôd. Operácia je pripisovaná skupine hackerov známej ako Volt Typhoon, ktorá vykonáva kyberšpionážne aktivity pre Peking. 

Čínski hackeri útočia na americkú infraštruktúru  

Riaditeľ FBI Christopher Wray vystúpil pred podvýborom Snemovne reprezentantov pre Čínu a zhodnotil kyberšpionážne ciele Komunistickej strany Číny v USA. Podľa Wraya sa čínski hackeri zameriavajú na americkú infraštruktúru. Ide im najmä o narušenie činnosti telekomunikácií, vodných zariadení, potrubí a dopravnej infraštruktúry, aby dokázali v budúcnosti vyvolať spoločenskú paniku a chaos.

Cieľom je pravdepodobne oslabiť ochotu USA poskytnúť pomoc Taiwanu, ak napätie medzi Pekingom a Tchaj-pejom prerastie do vojny. Akýkoľvek konflikt, nielen ten týkajúci sa Taiwanu, by pravdepodobne zahŕňal kybernetické útoky v Tichomorí.

Podľa riaditeľa FBI Čína tiež aktívne útočí na ekonomickú bezpečnosť USA. Hackeri sa majú usilovať o krádeže firemných údajov a obchodných tajomstiev, a to s cieľom podporiť čínsku ekonomiku a získať osobné informácie pre vplyvové kampane zo zahraničia. Ich cieľom je nahradiť USA ako najväčšiu svetovú superveľmoc.

Operácia Číny však bola zastavená skôr ako Peking stihol narušiť najdôležitejšie služby kritickej infraštruktúry. Zdá sa, že nezískala žiadne informácie z routerov. Tie sprostredkúvajú prenos dát medzi počítačovými sieťami a predstavujú prvú líniu zabezpečenia pred neoprávneným prienikom do siete.

Volt Typhoon na infikovanie routerov využil boty. Ide o škodlivý program, ktorý prechádza sieťové adresy a infikuje zraniteľné počítače. Hackeri často využívajú boty na infikovanie veľkého množstva počítačov, ktoré následne spolu vytvoria sieť, nazývanú botnet.

Pôvodne Volt Typhoon kontroloval 1 500 aktívnych botnetov, ale do polovice januára 2024 sa tento počet znížil na 650. Významný pokles nastal koncom decembra, keď americké úrady odstavili riadiace servery botnetov.

Už v máji minulého roka Microsoft varoval, že skupina Volt Typhoon sa snaží položiť technické základy pre potenciálne narušenie kritickej komunikačnej infraštruktúry medzi USA a Áziou pre prípad vypuknutia krízy. Spoločnosť tiež upozornila, že skupina je aktívna už od roku 2021.

Volt Typhoon využíva slabé stránky americkej infraštruktúry

Americká kritická infraštruktúra trpí mnohými bezpečnostnými problémami, vrátane zlého spravovania hesiel či nevyhovujúcich postupov pre inštaláciu bezpečnostných aktualizácií. Čelí tiež nedostatku finančných prostriedkov na najímanie bezpečnostného personálu a na modernizáciu vybavenia. Zároveň, vládne snahy o zavedenie základných kybernetických auditov  narazili na právne prekážky.

Ďalším problémom v boji proti čínskym hackerským operáciám je neochota majiteľov malých podnikov a miestnych úradov informovať FBI o podozrivých aktivitách v ich sieťach. Vďaka tomu by sa dalo zabrániť šíreniu útokov do ďalších sektorov.

Peking sa zameriava na najzraniteľnejšie miesta, a preto sa nabúral do stoviek zastaraných kancelárskych a domácich routerov. Skupina Volt Typhoon infiltrovala routery najmä od firiem Cisco a NetGear. Routery nepodporujú aktualizácie výrobcu, čo z nich robí ľahké ciele. Slúžia tak ako vstupné body pre prístup do pokročilejších počítačových systémov. Peking infikoval 32 % zo 6 613 zariadení NetGear.

Americkí predstavitelia vyzývajú verejnosť a zúčastnené strany v oblasti infraštruktúry, aby aplikovali dostupné softvérové aktualizácie, implementovali viacfaktorovú autentizáciu odolnú proti phishingu a centralizovali ukladanie protokolov pre zvýšenie bezpečnosti. Wray tiež naliehal na výbor, aby zvýšil financovanie FBI. Vďaka tomu by dokázal efektívnejšie reagovať na čínske hackerské útoky.

Akú stratégiu využíva hackerská skupina Volt Typhoon? 

Volt Typhoon je známa používaním techniky „žitie zo zeme“ (living off the land) pri zameriavaní sa na kritickú infraštruktúru. Táto technika umožňuje hackerom „skryť sa“ pred antivírusovým softvérom. Skupina využíva tiež platné účty a silné prevádzkové zabezpečenie, čo umožňuje dlhodobé zotrvanie v systémoch kritickej infraštruktúry. Členovia skupiny si udržujú prístup v infraštruktúre USA po dobu najmenej piatich rokov.

Pred uskutočnením útokov vykonávajú rozsiahly prieskum, aby získali informácie o cieľovej organizácii a mohli tak prispôsobiť svoje taktiky, techniky a postupy danému prostrediu. Následne získajú počiatočný prístup k sieti využitím nedostatkov vo verejných sieťových zariadeniach, ako sú routere, virtuálne privátne siete (VPN) a firewally. Potom sa pripájajú k sieťam obetí prostredníctvom VPN, aby mohli sledovať požadovanú činnosť.

Cieľom skupiny je získať správcovské oprávnenia v sieti a potom ich použiť na prechod do radiča domény a ďalších zariadení pomocou služieb vzdialeného prístupu. 

Po úspešnom získaní prístupu k legitímnym účtom vykazujú členovia skupiny minimálnu aktivitu v kompromitovanom prostredí, čo naznačuje, že ich cieľom je zotrvať v systéme dlhodobo, a nie prístup okamžite využiť. Skupina Volt Typhoon systematicky a dlhodobo cieli na tie isté organizácie, aby neustále overovala a  zlepšovala svoje neoprávnené prístupy. 

Jen Easterlyová, riaditeľka Agentúry pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry, vysvetlila, že čínski hackeri sú schopní „žiť v operačnom systéme počítača“ spôsobom, ktorý sťažuje ich identifikáciu. Hackeri „zvýšili svoju schopnosť konať ako systémoví administrátori, takže naozaj nemôžete povedať, že ide o čínskeho aktéra“.

Peking obvinenia popiera a tvrdí, že sa na americkú civilnú infraštruktúru nezameriava. Americkí predstavitelia zdôraznili, že Peking môže použiť rovnakú taktiku aj proti iným krajinám. Ohrozená je podľa nich kritická infraštruktúra napríklad v Kanade, Austrálii a na Novom Zélande.

CHCETE PODPORIŤ NAŠU PRÁCU? POMÔŽTE NÁM CEZ PATREON. MÔŽETE TAK UROBIŤ UŽ ZA €3
https://infosecurity.sk/podpora/

Študentka magisterského stupňa odboru Medzinárodné vzťahy na Masarykovej univerzite v Brne. Absolvovala stáže na Veľvyslanectve Slovenskej republiky vo Washingtone D.C., v Strategic Analysis Think Tank a v Demagóg.sk. Zaujíma sa prevažne o politické dianie v EÚ, krajinách Východného partnerstva a o región Západného Balkánu. Ovláda angličtinu, francúzštinu a španielčinu.