Σε μία αποκάλυψη σχετικά με την διείσδυση των Κινέζων χάκερστους αμερικανικούς παρόχους υπηρεσιών διαδικτύου προχωρά ηWashington Post, υποστηρίζοντας πως στόχος τους είναι η συλλογή πληροφοριών από τους χρήστες τους.
Σύμφωνα με το εκτενές άρθρο που δημοσιεύει η αμερικανική εφημερίδα, οι επιθέσεις που γίνονται κατά καιρούς χαρακτηρίζονται από υψηλό επίπεδο πολυπλοκότητας, προκαλώντας ανησυχία για την ασφάλεια κυβερνητικών και στρατιωτικών στελεχών στις ΗΠΑ. Σύμφωνα με άτομα που γνωρίζουν τις εξελίξεις και ιδιωτικούς ερευνητές στον τομέα της ασφάλειας, οι πρόσφατες επιθέσεις που σημειώθηκαν στις ΗΠΑ, αφορούν τουλάχιστον δύο μεγάλους παρόχους με εκατομμύρια πελάτες, καθώς και αρκετούς μικρότερους
Οι επιθέσεις αυτές θεωρούνται ως μέρος της συνήθους δραστηριότητας της Κίνας στον κυβερνοχώρο, αλλά με αυξημένη ένταση και σοβαρότητα. Όπως δήλωσε ο Μπράντον Ουέιλς, πρώην εκτελεστικός διευθυντής της Υπηρεσίας Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA), «αυτό είναι πλέον ο κανόνας για την Κίνα, αλλά είναι δραματικά πιο επιθετική από ό,τι στο παρελθόν».
Οι επιθέσεις προκαλούν έντονη ανησυχία, καθώς οι στόχοι τους περιλαμβάνουν πιθανώς κυβερνητικούς και στρατιωτικούς υπαλλήλους που εργάζονται μυστικά, καθώς και ομάδες στρατηγικού ενδιαφέροντος για την Κίνα. Ο Μάικ Χόρκα, ερευνητής στην Lumen Technologies και πρώην πράκτορας του FBI, σημειώνει ότι η προσπάθεια αυτή των κινεζικών ομάδων κατασκοπείας είναι αξιοσημείωτη, διότι εκμεταλλεύτηκαν άγνωστες μέχρι πρότινος αδυναμίες λογισμικού, τις οποίες θα μπορούσαν να κρατήσουν για μελλοντική χρήση.
Αν και δεν υπάρχουν ενδείξεις ότι οι πρόσφατες επιθέσεις αποσκοπούν σε κάτι άλλο πέρα από τη συλλογή πληροφοριών, ορισμένες από τις τεχνικές και τους πόρους που χρησιμοποιήθηκαν συνδέονται με την ομάδα Volt Typhoon, που υποστηρίζεται από την Κίνα. Αυτή η ομάδα έχει συνδεθεί με επιθέσεις σε υποδομές, όπως λιμάνια στον Ειρηνικό, με στόχο την πρόκληση πανικού και την παρεμπόδιση της δυνατότητας των ΗΠΑ να μεταφέρουν στρατεύματα και εξοπλισμό στην Ταϊβάν σε περίπτωση ένοπλης σύγκρουσης.
Η αμερικανική κυβέρνηση, μέσω της CISA, επιβεβαίωσε ότι η ευπάθεια που βρέθηκε από την Lumen αντιμετωπίζεται, αλλά αρνήθηκε να σχολιάσει άλλες τεχνικές, τους τελικούς στόχους, το εύρος των επιθέσεων ή τους υπεύθυνους.
Από την πλευρά της, η κινεζική πρεσβεία στην Ουάσιγκτον απέρριψε τις κατηγορίες, ισχυριζόμενη ότι η ομάδα Volt Typhoon είναι στην πραγματικότητα μια εγκληματική ομάδα ransomware που ονομάζεται «Dark Power» και δεν υποστηρίζεται από καμία κρατική αρχή.
Οι ερευνητές της Lumen εντόπισαν τρεις αμερικανικούς παρόχους διαδικτύου που υπέστησαν επιθέσεις το καλοκαίρι, ένας εκ των οποίων ήταν μεγάλος, μαζί με μια άλλη εταιρεία στις ΗΠΑ και μία στην Ινδία. Οι χάκερς εκμεταλλεύτηκαν μια άγνωστη μέχρι πρότινος ευπάθεια, γνωστή ως zero-day flaw, σε ένα πρόγραμμα της Versa Networks που διαχειρίζεται ευρείας κλίμακας δίκτυα. Η Versa αναγνώρισε την κρισιμότητα της ευπάθειας, προειδοποιώντας τους πελάτες της και εκδίδοντας ένα «patch» για την αντιμετώπισή της.
Η Lumen εντόπισε κακόβουλο λογισμικό σε ρούτερς παρόχων διαδικτύου που εξυπηρετούν συγκεκριμένες ομάδες ή μεμονωμένους πελάτες, το οποίο μπορούσε να υποκλέψει κωδικούς πρόσβασης. Πιστεύεται ότι το λογισμικό αυτό χρησιμοποιείται από την ομάδα Volt Typhoon.
Σε μια ξεχωριστή αναφορά νωρίτερα αυτόν τον μήνα, η εταιρεία ασφάλειας Volexity ανέφερε ότι βρήκε μια άλλη εξελιγμένη τεχνική σε έναν διαφορετικό, ανώνυμο πάροχο διαδικτύου. Στην περίπτωση αυτή, μια κινεζική κρατική ομάδα χάκερς, διαφορετική από την Volt Typhoon, κατάφερε να διεισδύσει αρκετά βαθιά στον πάροχο ώστε να αλλοιώσει τις διευθύνσεις DNS που οι χρήστες προσπαθούσαν να επισκεφτούν, επιτρέποντας στους χάκερς να εισάγουν back doors για κατασκοπεία.
Η χειραγώγηση των DNS είναι μια τακτική που εξειδικεύονται οι κινεζικές ομάδες χάκερς. Μια μυστηριώδης εκστρατεία που εντοπίστηκε νωρίτερα φέτος από ειδικούς ασφάλειας στην Infoblox, και αποδόθηκε στην Κίνα, περιλάμβανε τη χρήση του λεγόμενου «Μεγάλου Τείχους της Κίνας», το οποίο συνήθως παραπλανά τους χρήστες στην ενδοχώρα που προσπαθούν να αποκτήσουν πρόσβαση σε περιορισμένες υπηρεσίες ή περιεχόμενο.
Παρά τη σοβαρότητα της απειλής, ορισμένοι από τους κορυφαίους αξιωματούχους κυβερνοασφάλειας των ΗΠΑ, που συμμετείχαν πρόσφατα στα συνέδρια Black Hat και Def Con, ανέφεραν ότι η ομάδα Volt Typhoon παραμένει εξίσου ενεργή και επιτυχημένη όπως όταν ταυτοποιήθηκε για πρώτη φορά πέρυσι. Ο εν αποστρατεία στρατηγός Πολ Νακασόνε, ο οποίος αποχώρησε από τη θέση του ως επικεφαλής της Διοίκησης Κυβερνοχώρου των ΗΠΑ και της Υπηρεσίας Εθνικής Ασφάλειας, τόνισε ότι η έμφαση της ομάδας στην απόκτηση πρόσβασης για πιθανή φυσική καταστροφή «απέχει πολύ από τη συμπεριφορά των άλλων εθνών».