Голлівуд ще у 2007 році зняв кіно «Міцний горішок-4» про те, як хакери під виглядом терористів обвалили комунальну галузь США (світло, газ) для отримання мегабабла. Але в житті немає Брюса Вілліса і позитивного пацанчіка хакера, які б взяли всіх і спасли щось там потуцавши за 5 хвилин і набивши пару пик. А є державні бюрократи-слідчі, та приватні бізнесмени, які недооцінюють кібербезпеку. Це призвело до того, що ІТ-системи Америки вже опинились під контролем китайських хакерів. На інфографіці показано як китайці за 31 секунду хакнули порт Хьюстона.
І виглядає так, що китайці вже кілька років тому були здатні обвалити комуналку і зв'язок США на час достатній для захоплення Тайваню. Щоб американці тупо через внутрішні проблеми не лізли в зону захоплення Китаю.
Це не те що скандал – це справжня воєнна катастрофа. З нею намагаються щось зробити, виправити, покращити. Але масштаби проникнення через банально застаріле обладнання (там навіть софт вже не оновлювали) – лякають. Причому в США переляк стоїть на топ-рівні. Дайжбоже пофіксять.
Як китайські хакери перейшли від незграбних корпоративних злодіїв до військової зброї
Повідомлення радника президента Байдена з національної безпеки було приголомшливим.
Китайські хакери отримали можливість за власним бажанням вивести з ладу десятки американських портів, електромереж та інших інфраструктурних об'єктів, повідомив Джейк Салліван керівникам телекомунікаційних та технологічних компаній на таємній зустрічі в Білому домі восени 2023 року, як стверджують люди, знайомі з нею. Атака могла загрожувати життю людей, і уряд потребував допомоги компаній, щоб викорінити зловмисників.
Чого не знав ніхто на брифінгу, включно з Салліваном: Китайські хакери вже прокладали собі шлях глибоко всередину телекомунікаційних мереж США.
Дві масовані хакерські операції перевернули уявлення Заходу про те, чого хоче Пекін, водночас виявивши дивовижний рівень майстерності і скритності його клавіатурних воїнів, яких колись вважали кібернетичним еквівалентом галасливих п'яних грабіжників.
Колись вважалося, що китайські хакери цікавляться переважно бізнес-таємницями і величезними масивами приватних даних споживачів. Але останні хакерські атаки дають зрозуміти, що тепер вони є солдатами на передовій потенційного геополітичного конфлікту між США і Китаєм, в якому інструменти кібервійни, як очікується, стануть найпотужнішою зброєю.
Комп'ютерні мережі США є «ключовим полем битви в будь-якому майбутньому конфлікті» з Китаєм, сказав Брендон Вейлз, колишній високопоставлений чиновник з питань кібербезпеки в Міністерстві внутрішньої безпеки США, який уважно відстежував хакерські операції Китаю проти американської інфраструктури. За його словами, хакерські атаки і збір розвідувальної інформації «покликані забезпечити їхню перемогу, не даючи США демонструвати силу і викликаючи хаос у себе вдома».
Оскільки Китай дедалі більше погрожує Тайваню, працюючи над тим, що західні розвідники розглядають як мету, щоб бути готовими до вторгнення до 2027 року, США можуть бути втягнуті в боротьбу як найважливіший прихильник острова. В останні роки посилилися й інші тертя між Вашингтоном і Пекіном: новообраний президент Дональд Трамп погрожує гострою торговельною війною, а Китай будує тісніший альянс з Росією. Американські високопосадовці з обох партій попереджають, що Китай становить найбільшу небезпеку для американської безпеки.
Під час інфраструктурних атак, які почалися щонайменше у 2019 році і тривають досі, хакери, пов'язані з китайськими військовими, проникли на об'єкти, які шпигуни зазвичай ігнорують, зокрема на водоканал на Гаваях, порт у Х'юстоні та нафто- і газопереробний завод.
Слідчі як Федерального бюро розслідувань, так і приватного сектору виявили, що хакери причаїлися, іноді роками, періодично тестуючи доступ. У регіональному аеропорту слідчі виявили, що хакери забезпечили собі доступ, а потім поверталися кожні півроку, щоб переконатися, що вони все ще можуть потрапити всередину. Хакери провели щонайменше дев'ять місяців у мережі системи водопідготовки, перемістившись на сусідній сервер, щоб вивчити роботу станції. На комунальному підприємстві в Лос-Анджелесі хакери шукали матеріали про те, як комунальне підприємство реагуватиме у випадку надзвичайної ситуації чи кризи. Точне місцезнаходження та інші деталі інфраструктурних об'єктів, що постраждали, ретельно охороняються і не можуть бути повністю встановлені.
Американські силовики заявили, що вони вважають, що вторгнення в інфраструктуру, здійснені групою під назвою «Вольтовий тайфун», принаймні частково спрямовані на руйнування тихоокеанських ліній військового постачання і перешкоджають здатності Америки реагувати на майбутній конфлікт з Китаєм, в тому числі на потенційне вторгнення на Тайвань.
Під час окремих телекомунікаційних атак, які розпочалися в середині 2023 року або раніше і про які вперше повідомила газета The Wall Street Journal у вересні, хакерська група, відома як Salt Typhoon, пов'язана з китайською розвідкою, проникла в американські бездротові мережі, а також системи, що використовуються для спостереження, призначеного судом.
Вони змогли отримати доступ до даних понад мільйона користувачів і перехопити аудіозаписи розмов високопосадовців, включно з деякими розмовами з Трампом, отримавши доступ до телефонних ліній людей, чиїми телефонами він користувався. Вони також націлилися на людей, залучених до президентської кампанії віце-президента Камали Гарріс.
Вони також змогли викрасти з Verizon і AT&T список осіб, за якими американський уряд стежив протягом останніх місяців за рішенням суду, в тому числі підозрюваних китайських агентів.
Зловмисники використовували відомі недоліки програмного забезпечення, про які публічно попереджали, але які не були виправлені. Слідчі заявили, що вони все ще з'ясовують повний масштаб атаки.
Законодавці та чиновники, які протягом останніх тижнів брали участь у засекречених брифінгах, розповіли журналу, що вони були шоковані глибиною вторгнень і тим, наскільки складно буде усунути наслідки хакерських атак, а деякі керівники телекомунікаційних компаній заявили, що були приголомшені масштабами і серйозністю атаки.
«Вони були дуже обережні у своїх методах», - сказала Енн Нойбергер, заступник радника президента Байдена з національної безпеки з питань кібербезпеки. У деяких випадках хакери стирали журнали кібербезпеки, а в інших - компанії-жертви не вели належних журналів, що означає, що «ми ніколи не дізнаємося про масштаби та обсяги цього», - сказала вона.
Лю Пенгю, речник посольства Китаю у Вашингтоні, звинуватив США в поширенні дезінформації про загрози з боку китайських хакерів для просування своїх геополітичних амбіцій. За його словами, китайський лідер Сі Цзіньпін заявив президенту Байдену під час їхньої зустрічі в Перу в листопаді, що немає жодних доказів, які б підтверджували ці звинувачення.
«Дехто в США, схоже, з ентузіазмом ставиться до створення різного роду «тайфунів», - сказав речник, маючи на увазі назви, присвоєні хакерським групам. «США повинні припинити власні кібератаки проти інших країн і утриматися від використання кібербезпеки для оббріхування і наклепів на Китай».
Verizon заявив, що невелика кількість високопоставлених клієнтів в уряді та політиці були безпосередньо націлені на зловмисника, і що ці люди були про це повідомлені. «Після значної роботи над цим інцидентом ми можемо повідомити, що Verizon стримав діяльність, пов'язану з цим конкретним інцидентом», - сказала Вандана Венкатеш, головний юридичний директор Verizon.
Прес-секретар AT&T заявила, що компанія не виявила «жодної активності з боку національних держав у наших мережах на даний момент», додавши, що китайський уряд націлився на «невелику кількість осіб, що становлять інтерес для іноземної розвідки», і що постраждалі клієнти були повідомлені про це у співпраці з правоохоронними органами.
«Шокує, наскільки ми вразливі
Деякі чиновники з національної безпеки, які беруть участь у розслідуванні, заявили, що вважають злам телекомунікаційної системи настільки серйозним, а мережі настільки скомпрометованими, що США, можливо, ніколи не зможуть з упевненістю сказати, що китайські хакери були повністю викорінені.
Кілька високопоставлених законодавців і американських чиновників перейшли від традиційних дзвінків і текстів на мобільні телефони до використання зашифрованих додатків, таких як Signal, побоюючись, що Китай може прослуховувати їхні розмови. Федеральні правоохоронці закликали правоохоронні органи штатів і місцевих органів зробити те ж саме. (Федеральні агенти вже використовують власні зашифровані системи для секретної роботи).
Наприкінці грудня, у відповідь на кампанію «Соляний тайфун», федеральні чиновники з кібербезпеки опублікували нове керівництво, в якому рекомендували громадськості використовувати наскрізне шифрування для комунікацій, і заявили, що слід уникати багатофакторної автентифікації на основі тексту для входу в обліковий запис на користь методів, заснованих на додатках.
Американські урядовці вже більше десяти років попереджають про загрози в кіберпросторі, що швидко розвиваються: від хакерів-вимагачів, які блокують комп'ютери і вимагають викуп, до керованих державою крадіжок цінних корпоративних секретів. Вони також висловили занепокоєння щодо використання китайського обладнання, в тому числі телекомунікаційних гігантів Huawei і ZTE, стверджуючи, що воно може відкрити чорний хід для необмеженого шпигунства. У грудні журнал повідомив, що влада США розслідує, чи становлять популярні домашні інтернет-маршрутизатори китайської компанії TP-Link, які були пов'язані з кібератаками, загрозу національній безпеці.
Але Пекіну не потрібно було використовувати китайське обладнання для досягнення більшості своїх цілей у масованих інфраструктурних і телекомунікаційних атаках, за словами американських чиновників та інших осіб, знайомих з розслідуванням. В обох атаках Китай використовував застаріле телекомунікаційне обладнання, якому американські компанії довіряли протягом десятиліть.
У телекомунікаційних атаках хакери використовували незаплановані мережеві пристрої від постачальника систем безпеки Fortinet і скомпрометували великі мережеві маршрутизатори від Cisco Systems. Принаймні в одному випадку вони отримали контроль над обліковим записом управління мережею високого рівня, який не був захищений багатофакторною автентифікацією - базовим засобом захисту.
Це дало їм доступ до понад 100 000 маршрутизаторів, з яких вони могли продовжити свою атаку - серйозний промах, який, можливо, дозволив хакерам скопіювати трафік назад до Китаю і видалити свої власні цифрові треки.
За словами людини, знайомої з цією справою, викрадення роутерів відбулося в мережах AT&T.
AT&T відмовилася коментувати атаку на роутер. Компанії Cisco і Fortinet відмовилися від коментарів.
У грудні Нойбергер заявив, що кількість жертв телекомунікаційних компаній США зросла до дев'яти, і що їх може бути більше.
Крім глибоких вторгнень в AT&T і Verizon, хакери проникли в інші мережі, що належать компаніям Lumen Technologies і T-Mobile. Китайські хакери також проникли в мережі компаній Charter Communications, Consolidated Communications і Windstream, за словами людей, знайомих з цим питанням.
Компанія Lumen заявила, що більше не бачить доказів присутності зловмисників у своїй мережі і що доступ до даних клієнтів не був отриманий. Компанія T-Mobile заявила, що зупинила нещодавні спроби проникнення в її системи і захистила конфіденційну інформацію клієнтів від доступу.
Деякі американські посадовці, зокрема Нойбергер, заявили, що злам підкреслює необхідність запровадження базових вимог до кібербезпеки в телекомунікаційній галузі. Адміністрація Байдена створила такі мандати за допомогою виконавчих дій для трубопроводів, залізниць та авіаційної галузі.
«Кіберпростір - це поле битви, на якому точиться жорстка боротьба, - сказав Салліван, радник з питань національної безпеки. «Ми... досягли значного прогресу, але серйозні вразливості залишаються в тих секторах, де у нас немає обов'язкових вимог до кібербезпеки».
Сенатор Ден Салліван (республіканець, Аляска) під час слухань у Конгресі в грудні сказав: «Шокує, наскільки ми вразливі і досі вразливі». Він назвав нещодавній засекречений брифінг щодо телекомунікаційних хакерських атак таким, що «перехоплює подих».
Зломи інфраструктури також занепокоїли чиновників. У квітні під час п'ятигодинної зустрічі зі своїм китайським колегою в Пекіні держсекретар США Ентоні Блінкен заявив, що атаки Китаю на фізичну інфраструктуру викликають занепокоєння, є небезпечними і мають тенденцію до ескалації, повідомили люди, знайомі з ходом зустрічі.
Міністр закордонних справ Китаю Ван І, оточений помічниками за довгим столом з чашками чаю і води, знизав плечима і назвав ці звинувачення фантомом, вигаданим США для збільшення підтримки військових витрат.
На іншій зустрічі пізніше того ж тижня інші американські посадовці представили докази, що пов'язують вторгнення з китайськими IP-адресами. Китайські чиновники заявили, що вивчать їх і дадуть відповідь американцям, але так і не відповіли по суті, повідомили американські чиновники, знайомі з ходом переговорів.
Цей звіт про дві руйнівні кібератаки ґрунтується на інтерв'ю з близько 50 посадовцями з національної безпеки, правоохоронних органів та приватного сектору. Багато деталей ніколи не розголошувалися.
Атака на порт
Перший постріл, який виявив нову кібервійну, пролунав вранці 19 серпня 2021 року, коли китайські хакери всього за 31 секунду закріпилися в цифровому фундаменті одного з найбільших портів Америки.
У порту Х'юстона зловмисник, який видавав себе за інженера одного з постачальників програмного забезпечення, увійшов до сервера, призначеного для того, щоб співробітники могли скидати свої паролі з дому. Хакери встигли завантажити зашифрований набір паролів усіх співробітників порту до того, як порт виявив загрозу і відключив сервер паролів від своєї мережі.
Після цього начальник відділу кібербезпеки порту Кріс Вольскі зателефонував до Берегової охорони, яка має повноваження контролювати порти США, щоб повідомити про атаку: «Схоже, у нас проблема».
Х'юстонський порт нейтралізував загрозу, але необмежений доступ до паролів порту міг дати хакерам можливість переміщатися у внутрішніх мережах і знаходити місця, де можна сховатися, поки вони не захочуть діяти. На думку слідчих, вони могли в кінцевому підсумку опинитися на позиції, щоб порушити або зупинити роботу порту.
Атака на порт, який на той час лише нещодавно оновив базове антивірусне програмне забезпечення і мав лише одного ІТ-спеціаліста, який працював неповний робочий день над кібербезпекою, стала важливою першою підказкою для американських чиновників, що Китай переслідує цілі, які не містять корпоративних чи урядових секретів, і використовує нові способи проникнення.
ФБР з'ясувало, що вторгнення спиралося на раніше невідомий недолік у програмному забезпеченні для створення паролів.
Група аналітиків Microsoft визначила, що та сама хакерська група використовувала цей недолік у програмному забезпеченні іншої компанії для атак на консалтингові послуги та ІТ-компанії. Аналітики також помітили, що хакери націлилися на мережі на Гуамі, американській території в Тихому океані, де розташована ключова американська військово-морська база, де зловмисники зламали провайдера зв'язку.
Команда з Редмонда, штат Вашингтон, шукає загрози безпеці, використовуючи мільярди сигналів, які надходять від функцій безпеки, вбудованих в продукти Microsoft, включаючи Office 365, операційну систему Windows або хмару Azure.
За словами американських чиновників і дослідників з фірм, що займаються вивченням кіберзагроз, зловмисники почали з'являтися і в інших несподіваних місцях - від водоканалу на Гаваях і порту на західному узбережжі до таких секторів, як виробництво, освіта і будівництво.
Аналітики Microsoft зрозуміли, що спостерігають нову поведінку з боку Китаю, з безліччю китайських хакерів всередині критично важливої інфраструктури, яка, як видається, не має ані шпигунської, ані комерційної цінності, але водночас не має жодного значення.
Том Берт, донедавна віце-президент Microsoft з питань довіри та безпеки клієнтів, сказав в інтерв'ю, що дослідники загроз компанії виявили спільні риси в методах роботи і виборі жертв, які допомогли пов'язати атаки зі спільною хакерською групою. «І все це призводить до того, що ми знаємо, що це нова група в Китаї», - сказав він.
Отримавши інформацію від Microsoft та інші розвідувальні дані, федеральні агенти розпочали розслідування по всій території США і протягом 2022 та 23 років чули подібні історії під час візитів до більш ніж десятка сайтів. Жертви мали посередній рівень кібербезпеки, а деякі навіть не підозрювали, що їхні системи були зламані. Хакери, як правило, не встановлювали шкідливе програмне забезпечення і не крали дані, такі як комерційна, державна або приватна таємниця - вони просто намагалися проникнути в систему і вивчити її.
Використання старих маршрутизаторів
У попередніх випадках агенти ФБР часто могли відстежити хакерів, як тільки знаходили сервери в США, які вони орендували для своїх атак.
Цього разу хакери проникали через тип маршрутизаторів, які використовують малі та домашні офіси, що маскували вторгнення під легальний американський трафік.
Маршрутизатори, здебільшого вироблені компаніями Cisco та Netgear, були вразливі до атак, оскільки вони були настільки старими, що більше не отримували регулярних оновлень безпеки від своїх виробників. Потрапивши під контроль хакерів, маршрутизатори функціонували як сходинки до інших жертв, не викликаючи тривоги, оскільки вторгнення виглядали як звичайний трафік. Компанія Netgear відмовилася від коментарів.
Окремо аналітики Агентства національної безпеки помітили, що Пекін почав закладати кіберпідґрунтя для потенційного вторгнення Тайваню, в тому числі в США, за словами нинішніх і колишніх американських чиновників, знайомих з аналізом. Ця інформація допомогла привернути увагу до нової діяльності зі зламу інфраструктури, показавши слідчим ширшу картину.
Американські чиновники поділилися з союзниками даними про вторгнення в інфраструктуру, повідомили західні чиновники з питань безпеки.
Зосередженість на Гуамі і західному узбережжі підказала багатьом високопоставленим чиновникам з національної безпеки в кількох відомствах адміністрації Байдена, що хакери зосередилися на Тайвані і робили все можливе, щоб уповільнити реакцію США на потенційне китайське вторгнення, купуючи Пекіну дорогоцінні дні для завершення захоплення ще до того, як може прибути американська підтримка.
Інші цілі змусили аналітиків замислитися. Однією з них був невеликий центр управління повітряним рухом на західному узбережжі, іншими - водоочисні споруди. За словами посадовців, знайомих з ходом дискусії, такий вибір свідчив про те, що хакери шукали способи завдати болю американському цивільному населенню, в тому числі шляхом зміни маршрутів польотів літаків або виведення з ладу місцевих водоочисних споруд.
Заступник директора АНБ Джордж Барнс наприкінці 2022 - на початку 2023 року в інтерв'ю запитував, чи не планував Пекін викрити хакерів, щоб залякати США і змусити їх триматися подалі від потенційного конфлікту на Тайвані, як він сказав у своєму інтерв'ю.
Після самого Тайваню США «були б нульовою мішенню» для руйнівних кібератак у разі конфлікту навколо острова, сказав Барнс, який залишив АНБ наприкінці 2023 року після десятиліть роботи в шпигунському відомстві.
До кінця 2023 року ФБР зібрало достатньо інформації, щоб ідентифікувати сотні невеликих офісних роутерів, захоплених хакерами. Прокурори звернулися до судді з проханням надати дозвіл на віддалений доступ до роутерів і віддати команду на нейтралізацію шкідливого програмного забезпечення - по суті, проникнути в будинки нічого не підозрюючих американських жертв, які купили роутери багато років тому і не підозрювали, що їхня мережа Wi-Fi таємно використовується як стартовий майданчик для атаки.
У січні 2024 року суддя схвалив запит, і ФБР провело операцію, знешкодивши один із важливих інструментів хакерів.
Телекомунікаційна атака
Принаймні за кілька місяців до цього окрема група хакерів, пов'язана з Китаєм, розпочала іншу внутрішню атаку - цього разу тотальну атаку на комунікаційні системи США.
Влітку 2024 року деякі з тих самих компаній, керівники яких відвідували Білий дім восени 2023 року, отримали повідомлення від американських чиновників про те, що група, пов'язана з китайськими розвідувальними операціями в Міністерстві державної безпеки, проникла в їхні мережі.
Зловмисники використовували шляхи, які телекомунікаційні компанії використовують для передачі даних одна одній через посилання, в яких часто відсутня багатофакторна автентифікація. Такі додаткові рівні захисту, подібні до тих, які багато споживачів використовують для входу до банківських рахунків, не завжди існують між телекомунікаційними провайдерами, частково через те, що бар'єри можуть сповільнювати телефонні дзвінки та веб-трафік.
Хакери також змогли скомпрометувати лінії мобільних телефонів, якими користуються десятки високопоставлених чиновників з національної безпеки і політики США, а також принаймні деякі аудіозаписи телефонних розмов Трампа, майбутнього віце-президента Джей Ді Венса і людей, пов'язаних з президентськими кампаніями Трампа і Гарріса.
Окремо хакери намагалися отримати доступ до систем прослуховування Verizon і AT&T, вочевидь, намагаючись дізнатися, наскільки ФБР та інші відомства знають про шпигунів Пекіна, що діють у США і за кордоном, кажуть слідчі.
Вони не впевнені, чи змогли учасники «Соляного тайфуну» перенаправити контент в режимі реального часу, наприклад, дзвінки або повідомлення від людей, які перебувають під наглядом правоохоронних органів, з місць прослуховування назад до Китаю.
Хакери мали доступ до систем спостереження протягом тривалого часу, залишаючись непоміченими. За даними слідства, в одній компанії вони перебували всередині близько півроку, в іншій - близько 18 місяців. Хакери все ще перебували в системах прослуховування обох компаній станом на жовтень, через кілька тижнів після того, як журнал вперше публічно викрив вторгнення. Американські чиновники вважають, що хакери вже вийшли з систем прослуховування.
За словами слідчих, після перших повідомлень журналу хакери змінили свою поведінку, що ще більше ускладнило зусилля з їхнього пошуку та виселення.
Цієї осені група керівників Verizon та експертів з кібербезпеки засідала на закритих засіданнях у Техасі, щоб виявити зловмисників, вивчити їхню поведінку та визначити, як їх вигнати. З того часу оператор перевірив кожен маршрутизатор у своїй мережі на наявність вразливостей.
Слідчі з'ясували, що хакери іноді причаїлися, просто спостерігаючи за мережевим трафіком, а в інших випадках перехоплювали його, переправляючи свою здобич хитромудрими шляхами по всьому світу, перш ніж спрямувати її до Китаю. Вони були експертами у створенні плацдармів, з яких могли спостерігати за мережевим трафіком. Наприклад, вони поводилися так, як могли б поводитися мережеві інженери, а потім замітали сліди.
Хакери частково зосередилися на регіоні: Пріоритетом були телефонні записи осіб, які працюють у Вашингтоні та його околицях. Вони отримали доступ до записів про події дзвінків, включно з відмітками дати і часу, IP-адресами джерела і призначення, номерами телефонів та унікальними телефонними ідентифікаторами, що належали понад мільйону користувачів.
«Ми побачили величезний масив отриманих даних», - сказав співробітник ФБР, знайомий з ходом розслідування.
Відносини між приватним сектором і федеральними чиновниками, які розслідують злом, часом ставали напруженими, причому кожна сторона заявляла, що інша не виконує своїх обов'язків. Деякі законодавці висловлювали нетерпіння щодо часу, необхідного для вигнання хакерів.
Незадовго до Дня Подяки Салліван, радник з питань національної безпеки, знову скликав топ-менеджерів телекомунікаційних компаній - багато з тих самих, яких він скликав приблизно рік тому, щоб отримати допомогу щодо зламу інфраструктури. Цього разу телекомунікаційні компанії самі стали жертвами, і Салліван наполягав на прогресі.
Слідчі все ще з'ясовують повний обсяг і мету викрадення даних. За їхніми словами, ці дані можуть допомогти хакерам встановити, з ким спілкуються різні люди в уряді, і краще зрозуміти їхні соціальні та професійні кола. Ця інформація може допомогти полегшити майбутні вторгнення або атаки на цих осіб.
