Chińskie zaangażowanie w ataki na infrastrukturę krytyczną w Europie i wokół Tajwanu to niejedyna nowość ujawniona w ostatnich tygodniach. Amerykańska administracja ujawniła serię ataków hakerskich na telekomy i inną infrastrukturę krytyczną na terenie Stanów Zjednoczonych. Podobne informacje, chociaż mniej nagłaśniane, napływają także z Europy.
Jak twierdzą źródła The Wall Street Journal, jesienią 2023 roku doradca do spraw bezpieczeństwa narodowego Jake Sullivan spotkał się z dyrektorami do spraw telekomunikacji i technologii firm odpowiadających za infrastrukturę krytyczną. Celem tajnego spotkania przeprowadzonego w Białym Domu było ostrzeżenie przed działaniami chińskich hakerów. FBI prowadziła już wówczas zakrojone na dużą skalę śledztwo, władze potrzebowały jednak współpracy zagrożonych podmiotów. Te zaś wykazywały się niepojętą wręcz lekkomyślnością. Według informacji WSJ wiele z nich używało podstawowych wersji oprogramowania zabezpieczającego, a w działach IT za cyberbezpieczeństwo odpowiadały pojedyncze osoby.
Chińscy hakerzy działali w bardzo nietypowy sposób. Wykorzystując znane luki w oprogramowaniu, włamywali się do sieci i właściwie na tym się kończyło. Sprawcy prowadzili działania długo i cierpliwie, starannie zacierali ślady i jedynie wracali co kilka miesięcy, aby sprawdzić, czy nadal mają dostęp. Wykradane informacje dotyczyły najczęściej procedur przewidzianych na wypadek sytuacji kryzysowej. Na liście ofiar ataków znalazły się między innymi port w Houston, stacje uzdatniania wody w Los Angeles i na Hawajach czy sieci energetyczne. Osobnym intensywnie atakowanym celem były serwery i sieci infrastruktury krytycznej na Guamie.
Odkąd rozpoczęliśmy finansowanie Konfliktów przez Patronite i Buycoffee, serwis pozostał dzięki Waszej hojności wolny od reklam Google. Aby utrzymać ten stan rzeczy, potrzebujemy 1700 złotych miesięcznie.
Możecie nas wspierać przez Patronite.pl i przez Buycoffee.to.
Rozumiemy, że nie każdy może sobie pozwolić na to, by nas sponsorować, ale jeśli wspomożecie nas finansowo, obiecujemy, że Wasze pieniądze się nie zmarnują. Nasze comiesięczne podsumowania sytuacji finansowej możecie przeczytać tutaj.
Niezwykle interesujący i oryginalny jest atak przeprowadzony na port w Houston 19 sierpnia 2021 roku. Intruz podszywający się pod pracownika zewnętrznego dostawcy oprogramowania zdołał uzyskać dostęp do serwera służącego pracownikom portu do zmiany haseł dostępu z domu. Całość miała zająć ledwie 31 sekund. Chińskim hakerom udało się pobrać hasła wszystkich pracowników. Na szczęście włamanie zauważono szybko. Odpowiadający za cyberbezpieczeństwo Chris Wolski wezwał Straż Wybrzeża. Zagrożenie udało się zneutralizować, nie ma jednak pewności, czy hakerzy nie ukryli się gdzieś w portowej sieci i nie czekają na odpowiedni moment, aby podjąć działania.
Atak hakerski na infrastrukturę krytyczną określany jako „cyfrowe Pearl Harbor” to jeden z czarnych scenariuszy od lat omawianych wśród ekspertów i publicystów zajmujących się cyberbezpieczeństwem. Nagłe wyłączenie sieci energetycznych, wodociągowych, telekomunikacyjnych nawet jeśli nie rzuci kraju na kolana, to będzie kiepskim startem jakiejkolwiek wojny. Wprawdzie dotychczasowe doświadczenia z wojny rosyjsko-ukraińskiej pokazują, że obawy są przesadzone, ale trzeba być przygotowanym na każdy scenariusz. Właśnie na to uczulał swoich gości Sullivan.
Inną charakterystyczną cechą działań grupy hakerów nazwanej Volt Typhoon jest koncentracja na infrastrukturze portowej na zachodnim wybrzeżu Stanów Zjednoczonych. Łatwo wysnuć stąd wniosek, że na wypadek inwazji na Tajwan Chiny będą starały się wszelkimi sposobami zdezorganizować i opóźnić przerzut amerykańskich sił na drugą stronę Pacyfiku. Ten sam motyw pojawia się w przypadku Guamu. Narzędziem działania nie muszą być tutaj tylko ataki hakerskie. Chińskie dźwigi i inne urządzenia portowe już zidentyfikowano jako ryzyko dla bezpieczeństwa narodowego USA.
„Największy haking telekomunikacyjny w naszej historii”
Infiltracja infrastruktury krytycznej była dopiero początkiem. Pod koniec sierpnia 2024 roku zaczęły krążyć informacje, że Chińczykom udało się zhakować amerykańskie telekomy. Według administracji hackerom udało się włamać na serwery dziewięciu operatorów; w tym Verizona i AT&T, największych potentatów na rynku. Ataki miały przynieść bardzo dobre rezultaty. Stojąca za nimi grupa, nazwana Salt Typhoon, zdołała przeniknąć głęboko do sieci, uzyskując dostęp do danych ponad miliona użytkowników, w tym adresów IP, identyfikatorów telefonów, wiadomości tekstowych, a nawet możliwość podsłuchiwania bieżących rozmów. Wśród podsłuchiwanych znaleźli się Donald Trump, jego wiceprezydent J.D. Vance i członkowie sztabu wyborczego Kamali Harris. Szczególna aktywność podsłuchów miała przypadać na okres kampanii prezydenckiej.
BREAKING: Chinese hackers known as Salt Typhoon compromised at least 8 telecommunications companies, deputy national security advisor @AnneNeuberger announced on a call with reporters, and “we do not believe any have fully removed the Chinese from their networks… Until they…
— Nick Schifrin (@nickschifrin) December 4, 2024
Ogółem liczba podsłuchiwanych miała przekroczyć 150 osób. Wszystkie zostały poinformowane przez władze jeszcze przed upublicznieniem informacji o zhakowaniu telekomów. Po raz kolejny widać koncentrację geograficzną. Szczególnym zainteresowaniem hakerów z Salt Typhoon cieszyły się numery z Waszyngtonu i stanu Wirginia. Podsłuchy to jedno, ale hakerom udało się osiągnąć jeszcze większy sukces, przynajmniej z punktu widzenia chińskiego wywiadu. Dotarli oni do list numerów podsłuchiwanych przez FBI i inne służby. To bezcenne źródło informacji o tym, czy amerykański kontrwywiad wpadł na trop chińskich agentów.
Władze poinformowały telekomy o działaniach hakerów latem 2024 roku. Obecność intruzów w sieciach trwała relatywnie długo, od sześciu do osiemnastu miesięcy. Przyczyny sukcesu Chińczyków (lub, jak kto woli, kompromitacji Amerykanów) były takie jak zawsze – niefrasobliwość i ignorowanie kwestii bezpieczeństwa, cechy w USA przypisywane często Japonii. Hakerzy wykorzystali łącza używane przez telekomy do przekazywania sobie danych. Rzadko stosuje się tam wielostopniowe uwierzytelnianie, znane chociażby z bankowości internetowej. Przyczyna jest prosta: dłuższa weryfikacja powodowałaby spowolnienie transferu danych.
Na niższym stopniu zagrożenie stwarza nieaktualizowane regularnie oprogramowanie zabezpieczające routery i stosowanie starych routerów. Firma Sichuan Silence Company opracowała nawet złośliwe oprogramowanie atakujące zapory sieciowe. Dzięki niemu chińskim hakerom miało udać się uzyskać nieautoryzowany dostęp do około 81 tysięcy urządzeń. Amerykańskie władze wyznaczyły nagrodę w wysokości do 10 milionów dolarów za informacje na temat Guan Tianfenga, uważanego za twórcę oprogramowania, oraz innych osób i podmiotów powiązanych z Sichuan Silence Company.
The U.S. Department of State offers up to $10 million for locating Guan Tianfeng and others from the Sichuan Silence Company for their part in creating and deploying malware on firewall devices. Contact Rewards for Justice if you have any information:
https://t.co/iu3FTT9dhw pic.twitter.com/QcpYYUaJLN— FBI (@FBI) December 31, 2024
To, że nie wykradziono danych większej liczby użytkowników ani nie prowadzono podsłuchów większej liczby numerów, wynika z przyjętego przez chińskich hakerów modus operandi. Podobnie jak w przypadku infrastruktury krytycznej, bardzo często ich celem było nie wykradanie informacji, a jedynie ustanowienie obecności i obserwacja ruchu w sieci. Często zachowywali się jak inżynierowie sieci i zręcznie zacierali ślady. Zdobyte dane były za pośrednictwem skomplikowanych ścieżek wysyłane do Chin.
Cały czas trwa szacowanie szkód powstałych w wyniku tego, co demokratyczny senator z Wirginii Mark Warner określił „najgorszym telekomunikacyjnym atakiem hakerskim w naszej historii”. Na pewno nie udało się całkowicie wyrugować nieproszonych gości z sieci telekomunikacyjnych, tym bardziej, że jak przyznają śledczy, gdy tylko sprawa wypłynęła na wierzch hakerzy zaczęli zmieniać swoje zachowania w celu utrudnienia ich lokalizacji i wyrzucenia z sieci.
Nie był to koniec złych informacji. 30 grudnia departament skarbu poinformował, że padł ofiarą ataku hakerów powiązanych z chińskimi instytucjami państwowymi. Napastnikom udało się znaleźć lukę w oprogramowaniu dostarczanym przez firmę BeyondTrust. 8 grudnia firma poinformowała departament, że haker uzyskał dostęp do klucza bezpieczeństwa, co pozwoliło mu na obejście części protokołów bezpieczeństwa i uzyskanie dostępu do niektórych komputerów biurowych departamentu oraz przechowywanych na nich dokumentów jawnych.
BeyondTrust podjęło „odpowiednie kroki by zaradzić problemowi”, a jednocześnie poinformowało senacką komisję bankową. Departament skarbu zwrócił się o pomoc do Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA). Podjęto także współpracę z FBI i służbami wywiadowczymi. Departament określił atak jako „poważny incydent”. Nie jest to pierwszy atak chińskich hakerów na amerykańskie instytucje. W 2023 roku hakerom udało się uzyskać dostęp do skrzynek mailowych departamentów stanu i handlu, w tym sekretarz handlu Giny Raimondo.
Nie tylko USA
Celem intensywnych działań chińskich hakerów jest także Wielka Brytania. W 2021 wespół z rosyjskimi kolegami udało im się włamać na serwery ministerstwa spraw zagranicznych. Nie uzyskali wprawdzie dostępu do tajnych danych, ale i tak zdobyli wiele wartościowych informacji. Dotyczyło to korespondencji wewnątrz ministerstwa i z placówkami dyplomatycznymi, a także wewnątrzministerialnych wideokonferencji, co dało wgląd w codzienną pracę Foreign Office. Następne lata przyniosły ataki na odpowiednik komisji wyborczej i skrzynki mailowe parlamentarzystów. W maju ubiegłego roku napastnikom udało się włamać na serwery ministerstwa obrony i wykraść dane osobowe personelu. Nie ma pewności co do sprawstwa, przypisuje się je jednak Chińczykom.
Gdy w lipcu doszło do zmiany rządu, premier Keir Starmer i najważniejsi ministrowie mieli zostać poinformowani, że z „dużym prawdopodobieństwem” chińskim hakerom udało się zinfiltrować sieci związane z infrastrukturą krytyczną. O sprawie miał wiedzieć już poprzednie konserwatywne gabinety, które zdecydowały się jej nie upubliczniać. Labourzyści postanowili nie podawać do publicznej wiadomości szczegółów zajścia, mieli jednak zintensyfikować prace nad poprawą cyberbezpieczeństwa.
Pod koniec sierpnia ubiegłego roku Bitkom, organizacja niemieckiej branży IT, ogłosiła rezultaty badania wśród niemieckich firm z różnych sektorów na temat ataków hakerskich. Okazało się, że w okresie od sierpnia 2023 do sierpnia 2024 roku aż 80% respondentów padło ofiarą ataków. Aż 45% miało pochodzić z Chin, 39% – z Rosji. Uwidoczniła się przy tym pewna zmiana. W poprzednim 12‑miesięcznym okresie to Rosjanie odpowiadali za 46% ataków, a Chińczycy za 42%. Według ocen Bitkom w 2024 roku hakerzy wyrządzili niemieckiej gospodarce szkody w wysokości 267 miliardów euro.
Zdaniem Ralfa Wintergersta, prezesa Bitkom, w najbliższych latach nie widać szans na poprawę sytuacji, a firmy mogą jedynie zwiększyć nakłady na cyberbezpieczeństwo. W podobnym duchu wypowiadał się szef brytyjskiego MI5 Ken McCallum. Przestrzegał on, że Wielka Brytania i jej sojusznicy „powinni spodziewać się dalszego testowania, a miejscami pokonywania” swoich cyberzabezpieczeń.
Czy na pewno zmiana?
Ujawnienie haku telekomunikacyjnego doprowadziło do pojawienia się wśród amerykańskich ekspertów i dziennikarzy opinii, że oto jesteśmy świadkami epokowej zmiany w działalności chińskich cyberwojowników. Przeszli oni rzekomo od często niezgrabnie prowadzonego szpiegostwa przemysłowego do zakrojonych na szeroką skalę operacji wpływu i przenikania do kluczowych sieci rządowych i infrastruktury krytycznej.
Czy na pewno? Już przytoczone w tym tekście przykłady sięgają roku 2021. Jeśli należałoby wskazać punkt zwrotny, to byłby to początek roku 2020 i pandemia COVID-19. Chiny zainicjowały wówczas olbrzymią kampanię mającą zdjąć z nich wszelką odpowiedzialność za wybuch i rozprzestrzenianie się pandemii. W jej cieniu ruszyła prowadzona z nie mniejszym rozmachem kampania ataków hakerskich na instytucje rządowe, służbę zdrowia, przemysł farmaceutyczny, petrochemiczny i zbrojeniowy, banki, uczelnie wyższe, transport oraz telekomunikację w Stanach Zjednoczonych, Wielkiej Brytanii, Francji, Japonii, Indiach, Australii, Finlandii, a także Polsce.
Chińczycy intensywnie uczyli się od Rosjan, a następnie zaczęli udoskonalać ich metody. Coraz bardziej zaczęła być także widoczna współpraca między obydwoma państwami. Do tej pory w otwartych źródłach brak informacji o wspólnych chińsko-rosyjskich akcjach, ale wyraźnie widoczna jest koordynacja, szczególnie w zakresie dezinformacji.
Działania dezinformacyjne i propagandowe, a także sabotaż odgrywały istotna rolę w radzieckich, a następnie rosyjskich koncepcjach wojny. Celem takich operacji było i jest zdemoralizowanie przeciwnika i odebranie mu woli walki. Z czasem wykrystalizowała się z tego koncepcja wojny nieliniowej z jej naciskiem na zastosowanie informacji jako broni w walce o zdobycie przewagi w sferze mentalnej (noosferze). Głównym narzędziem walki stała się psychologia, a jej najważniejszym uczestnikiem (celem ataku) – ludność cywilna w innych krajach.
Rosyjskie idee spotkały się z żywym zainteresowaniem w Chinach. Ale wszystkich, którzy będą doszukiwać się związków z Sun Zi, czeka rozczarowanie. Zarówno dla Rosjan, jak i dla Chińczyków działania hybrydowe nie służą odniesieniu zwycięstwa bez walki. Infiltracja i demoralizacja to jedynie etap przygotowawczy do normalnej inwazji. Kolejni włodarze Kremla i Zhongnanhai widzieli w nich sposób na zniwelowanie gospodarczej, technicznej i militarnej przewagi Zachodu. W tych założeniach działania hybrydowe to broń słabszych, mająca wyrównać ich szanse w walce z silniejszym przeciwnikiem.
– Starają się uzyskać asymetryczną przewagę w kryzysie lub konflikcie – stwierdził w rozmowie z Breaking Defense David Frederick, wicedyrektor NSA do spraw Chin. – Jeśli spojrzeć na koszty i korzyści z ich punktu widzenia oraz na rozległość celów w Stanach Zjednoczonych i u naszych sojuszników pod względem globalnych sieci, nie będą zmotywowani do zatrzymania się.
Skala ataków hakerskich w USA pokazała bezsensowność założeń, z których wyszli amerykańscy decydenci. Częste ujawnianie wykrycia aktywności chińskiego wywiadu miało służyć odstraszaniu. Z Waszyngtonu płynął przekaz: „widzimy was, patrzymy wam na ręce, dajcie sobie spokój”. Wprowadzenie koncepcji odstraszania od działań wywiadowczych jest pomysłem nowatorskim i co najmniej dziwnym. Żeby odstraszanie było skuteczne, odstraszany musi obawiać się konsekwencji ze strony odstraszającego. Nic takiego nie zachodzi. Działania wywiadowcze kierują się inną logiką niż relacje między państwami, a z perspektywy Pekinu i Moskwy konsekwencje są wliczone w koszta. Amerykańskie sankcje na chińskie firmy technologiczne i tak będą nakładane, dlaczego więc rezygnować z operacji przynoszących wymierne korzyści?
Można też podejść do sprawy odwrotnie. To Chiny starają się odstraszyć Stany Zjednoczone, zwłaszcza w obliczu zbliżającej się drugiej kadencji Donalda Trumpa. Oficjalnie Pekin jest przygotowany na Trumpa 2.0, ale w Zhongnanhai muszą doskonale zdawać sobie sprawę, że Trump będzie w stanie zaskoczyć i nawet jeśli nie przyprzeć do muru, to poważnie utrudnić życie. Stąd też rozbudowa arsenału jądrowego i regularne demonstracje w postaci ujawnienia lotów prototypów lub zaawansowanych demonstratorów samolotów bojowych nowej generacji.
A w Chinach
Tymczasem w samych Chinach tamtejsze służby mają pełne ręce roboty. Jak donosi Bloomberg, niezadowolenie z rządów Xi Jinpinga osiągnęło w pewnych kręgach na tyle wysoki poziom, że CIA widzi spore szanse na zwiększenie werbunku agentów. Przypomnijmy, że amerykański wywiad cały czas stara się odbudować swoją siatkę szpiegowską w Chinach, która została rozbita w latach 2010-2012 w wyniku luki w systemie komunikacji z agentami.
Efektem ubocznym tych wydarzeń stała się cały czas rosnąca paranoja chińskiego przywództwa oraz węszenie wszędzie zdrajców i obcych szpiegów. Jak to jednak zwykle bywa w systemie komunistycznym, własne społeczeństwo często jest postrzegane przez rządzących jako wróg na równi z wszelkimi „imperialistami”. Stąd rosnące działania wymierzone w chińskich dysydentów, także przebywających za granicą.
At least two Chinese dissident accounts on X said they have received what appears to be phishing links disguised as news tips. What they described resembles almost exactly what was revealed about Chinese hacking activities on X in the leaked I-Soon documents back in February. 1/
— Wenhao (@ThisIsWenhao) April 9, 2024
W samych Chinach prowincjonalne działy ministerstwa bezpieczeństwa publicznego na szeroką skalę mają co najmniej od roku 2017 stosować oprogramowanie EagleMsgSpy. Narzędzie umożliwia nie tylko pobieranie wiadomości tekstowych, nagrań dźwięku i danych lokalizacyjnych z zainfekowanych telefonów, ale także odczytywanie szyfrowanych wiadomości z WhatsAppa, WeChata i Telegramu. Skradzione dane są gromadzone w obszarze przejściowym, a następnie kompresowane i wysyłane na serwer zewnętrzny. Ażeby zainfekować urządzenie, konieczne jest fizyczne połączenie przez USB, ale druga możliwość to bardzo popularne w Chinach kody QR stosowane praktycznie do wszystkiego, z płatnościami włącznie.
W przygotowanym przez firmę badawczą Lookout raporcie jako twórcę EagleMsgSpy zidentyfikowano Wuhan Chinasoft Token Information Technology. Wskazano też na możliwe powiązania firmy z Wuhanu z Topsec, jednym z największych na rynku chińskim przedsiębiorstw odpowiadających za cyberbezpieczeństwo. To oczywiście nie koniec historii. W grudniu ubiegłego roku była spółka zależna Topsecu została objęta amerykańskimi sankcjami za rolę w narażeniu na szwank tysięcy zapór sieciowych na całym świecie.