Chińskie zaangażowanie w ataki na infrastrukturę krytyczną w Europie i wokół Tajwanu to niejedyna nowość ujawniona w ostatnich tygodniach. Amerykańska administracja ujawniła serię ataków hakerskich na telekomy i inną infrastrukturę krytyczną na terenie Stanów Zjednoczonych. Podobne informacje, chociaż mniej nagłaśniane, napływają także z Europy.

Jak twierdzą źródła The Wall Street Journal, jesienią 2023 roku doradca do spraw bezpieczeństwa narodowego Jake Sullivan spotkał się z dyrek­to­rami do spraw tele­komu­ni­ka­cji i techno­logii firm odpowiadających za infrastrukturę krytyczną. Celem tajnego spotkania przeprowadzonego w Białym Domu było ostrzeżenie przed działaniami chińskich hakerów. FBI prowadziła już wówczas zakro­jone na dużą skalę śledztwo, władze potrzebowały jednak współpracy zagrożonych podmiotów. Te zaś wykazywały się niepojętą wręcz lekkomyślnością. Według informacji WSJ wiele z nich używało pod­sta­wo­wych wersji opro­gra­mo­wa­nia zabez­pie­cza­ją­cego, a w działach IT za cyber­bez­pie­czeń­stwo odpowiadały pojedyncze osoby.

Chińscy hakerzy działali w bardzo nietypowy sposób. Wykorzystując znane luki w opro­gra­mo­wa­niu, włamywali się do sieci i właściwie na tym się kończyło. Sprawcy prowadzili działania długo i cierpliwie, starannie zacierali ślady i jedynie wracali co kilka miesięcy, aby sprawdzić, czy nadal mają dostęp. Wykradane informacje dotyczyły najczęściej procedur przewidzianych na wypadek sytuacji kryzysowej. Na liście ofiar ataków znalazły się między innymi port w Houston, stacje uzdatniania wody w Los Angeles i na Hawajach czy sieci energetyczne. Osobnym intensywnie atakowanym celem były serwery i sieci infra­struk­tury krytycznej na Guamie.

Odkąd rozpoczęliśmy finansowanie Konfliktów przez Patronite i Buycoffee, serwis pozostał dzięki Waszej hojności wolny od reklam Google. Aby utrzymać ten stan rzeczy, potrzebujemy 1700 złotych miesięcznie.

Możecie nas wspierać przez Patronite.pl i przez Buycoffee.to.

Rozumiemy, że nie każdy może sobie pozwolić na to, by nas sponsorować, ale jeśli wspomożecie nas finansowo, obiecujemy, że Wasze pieniądze się nie zmarnują. Nasze comiesięczne podsumowania sytuacji finansowej możecie przeczytać tutaj.

LUTY BEZ REKLAM GOOGLE 95%

Niezwykle interesujący i oryginalny jest atak przeprowadzony na port w Houston 19 sierpnia 2021 roku. Intruz podszywający się pod pracownika zewnętrznego dostawcy opro­gra­mo­wa­nia zdołał uzyskać dostęp do ser­wera służącego pracownikom portu do zmiany haseł dostępu z domu. Całość miała zająć ledwie 31 sekund. Chińskim hakerom udało się pobrać hasła wszystkich pracow­ni­ków. Na szczęście włamanie zauwa­żono szybko. Odpowiadający za cyber­bez­pie­czeń­stwo Chris Wolski wezwał Straż Wybrzeża. Zagrożenie udało się zneutralizować, nie ma jednak pewności, czy hakerzy nie ukryli się gdzieś w portowej sieci i nie czekają na odpowiedni moment, aby podjąć działania.

Atak hakerski na infrastrukturę krytyczną określany jako „cyfrowe Pearl Harbor” to jeden z czarnych scenariuszy od lat omawianych wśród ekspertów i publicystów zajmujących się cyber­bez­pie­czeń­stwem. Nagłe wyłączenie sieci ener­ge­tycz­nych, wodo­cią­go­wych, tele­komu­ni­ka­cyj­nych nawet jeśli nie rzuci kraju na kolana, to będzie kiepskim startem jakiejkolwiek wojny. Wprawdzie dotych­cza­sowe doświadczenia z wojny rosyjsko-ukraińskiej pokazują, że obawy są przesadzone, ale trzeba być przygo­to­wa­nym na każdy scenariusz. Właśnie na to uczulał swoich gości Sullivan.

Inną charakterystyczną cechą działań grupy hakerów nazwanej Volt Typhoon jest koncentracja na infra­struk­turze portowej na zachodnim wybrzeżu Stanów Zjednoczonych. Łatwo wysnuć stąd wniosek, że na wypadek inwazji na Tajwan Chiny będą starały się wszelkimi sposobami zdezor­ga­ni­zo­wać i opóźnić przerzut amerykańskich sił na drugą stronę Pacyfiku. Ten sam motyw pojawia się w przypadku Guamu. Narzędziem działania nie muszą być tutaj tylko ataki hakerskie. Chińskie dźwigi i inne urządzenia portowe już zidenty­fi­ko­wano jako ryzyko dla bezpieczeństwa narodowego USA.

„Największy haking tele­komu­ni­ka­cyjny w naszej historii”

Infiltracja infrastruktury krytycznej była dopiero początkiem. Pod koniec sierpnia 2024 roku zaczęły krążyć informacje, że Chińczykom udało się zhakować amerykańskie telekomy. Według administracji hackerom udało się włamać na serwery dziewięciu operatorów; w tym Verizona i AT&T, największych potentatów na rynku. Ataki miały przynieść bardzo dobre rezultaty. Stojąca za nimi grupa, nazwana Salt Typhoon, zdołała przeniknąć głęboko do sieci, uzyskując dostęp do danych ponad miliona użytkowników, w tym adresów IP, identyfikatorów telefonów, wiadomości tekstowych, a nawet możliwość podsłuchiwania bieżących rozmów. Wśród pod­słu­chi­wa­nych znaleźli się Donald Trump, jego wiceprezydent J.D. Vance i członkowie sztabu wyborczego Kamali Harris. Szczególna aktywność podsłuchów miała przypadać na okres kampanii prezydenckiej.

Ogółem liczba podsłuchiwanych miała przekroczyć 150 osób. Wszystkie zostały poin­for­mo­wane przez władze jeszcze przed upub­licz­nie­niem informacji o zhakowaniu telekomów. Po raz kolejny widać koncentrację geo­gra­ficzną. Szczegól­nym zainteresowaniem hakerów z Salt Typhoon cieszyły się numery z Waszyngtonu i stanu Wirginia. Podsłuchy to jedno, ale hakerom udało się osiągnąć jeszcze większy sukces, przynajmniej z punktu widzenia chińskiego wywiadu. Dotarli oni do list numerów podsłuchiwanych przez FBI i inne służby. To bezcenne źródło informacji o tym, czy amerykański kontrwywiad wpadł na trop chińskich agentów.

Władze poinformowały telekomy o działaniach hakerów latem 2024 roku. Obecność intruzów w sieciach trwała relatywnie długo, od sześciu do osiemnastu miesięcy. Przyczyny sukcesu Chińczyków (lub, jak kto woli, kompromitacji Amerykanów) były takie jak zawsze – niefrasobliwość i ignorowanie kwestii bezpieczeństwa, cechy w USA przypisywane często Japonii. Hakerzy wykorzystali łącza używane przez telekomy do przekazywania sobie danych. Rzadko stosuje się tam wielostopniowe uwierzytelnianie, znane chociażby z bankowości internetowej. Przyczyna jest prosta: dłuższa weryfikacja powodowałaby spowolnienie transferu danych.

Na niższym stopniu zagrożenie stwarza nieaktualizowane regularnie oprogramowanie zabezpieczające routery i stosowanie starych routerów. Firma Sichuan Silence Company opracowała nawet złośliwe oprogramowanie atakujące zapory sieciowe. Dzięki niemu chińskim hakerom miało udać się uzyskać nieautoryzowany dostęp do około 81 tysięcy urządzeń. Amerykańskie władze wyznaczyły nagrodę w wysokości do 10 milionów dolarów za informacje na temat Guan Tianfenga, uważanego za twórcę opro­gra­mo­wa­nia, oraz innych osób i podmiotów powiązanych z Sichuan Silence Company.

To, że nie wykradziono danych większej liczby użytkowników ani nie prowadzono podsłuchów większej liczby numerów, wynika z przyjętego przez chińskich hakerów modus operandi. Podobnie jak w przypadku infrastruktury krytycznej, bardzo często ich celem było nie wykradanie informacji, a jedynie ustanowienie obecności i obserwacja ruchu w sieci. Często zachowywali się jak inży­nie­ro­wie sieci i zręcznie zacierali ślady. Zdobyte dane były za pośrednictwem skomplikowanych ścieżek wysyłane do Chin.

Cały czas trwa szacowanie szkód powstałych w wyniku tego, co demokratyczny senator z Wirginii Mark Warner określił „najgorszym telekomunikacyjnym atakiem hakerskim w naszej historii”. Na pewno nie udało się całkowicie wyrugować nieproszonych gości z sieci telekomunikacyjnych, tym bardziej, że jak przyznają śledczy, gdy tylko sprawa wypłynęła na wierzch hakerzy zaczęli zmieniać swoje zachowania w celu utrudnienia ich lokalizacji i wyrzucenia z sieci.

Nie był to koniec złych informacji. 30 grudnia departament skarbu poinformował, że padł ofiarą ataku hakerów powiązanych z chińskimi instytucjami państwowymi. Napastnikom udało się znaleźć lukę w oprogramowaniu dostarczanym przez firmę BeyondTrust. 8 grudnia firma poinformowała departament, że haker uzyskał dostęp do klucza bezpieczeństwa, co pozwoliło mu na obejście części protokołów bez­pie­czeń­stwa i uzyskanie dostępu do niektórych komputerów biurowych departamentu oraz przecho­wy­wa­nych na nich dokumentów jawnych.

BeyondTrust podjęło „odpowiednie kroki by zaradzić problemowi”, a jednocześnie poinformowało senacką komisję bankową. Departament skarbu zwrócił się o pomoc do Agencja ds. Cyber­bez­pie­czeń­stwa i Bezpieczeństwa Infrastruktury (CISA). Podjęto także współpracę z FBI i służbami wywiadow­czymi. Depar­ta­ment określił atak jako „poważny incydent”. Nie jest to pierwszy atak chińskich hakerów na amerykańskie instytucje. W 2023 roku hakerom udało się uzyskać dostęp do skrzynek mailowych departamentów stanu i handlu, w tym sekretarz handlu Giny Raimondo.

Nie tylko USA

Celem intensywnych działań chińskich hakerów jest także Wielka Brytania. W 2021 wespół z rosyjskimi kolegami udało im się włamać na serwery ministerstwa spraw zagranicz­nych. Nie uzyskali wpraw­dzie dostępu do tajnych danych, ale i tak zdobyli wiele wartoś­ciowych informacji. Dotyczyło to kores­pon­den­cji wewnątrz ministerstwa i z placów­kami dyplo­ma­tycz­nymi, a także wewnątrz­mini­sterial­nych wideo­kon­fe­ren­cji, co dało wgląd w codzienną pracę Foreign Office. Następne lata przyniosły ataki na odpowiednik komisji wyborczej i skrzynki mailowe parla­men­ta­rzys­tów. W maju ubiegłego roku napast­ni­kom udało się włamać na serwery ministerstwa obrony i wykraść dane osobowe personelu. Nie ma pewności co do sprawstwa, przypisuje się je jednak Chińczykom.

Gdy w lipcu doszło do zmiany rządu, premier Keir Starmer i najważniejsi ministrowie mieli zostać poinfor­mo­wa­ni, że z „dużym prawdo­podo­bień­stwem” chińskim hakerom udało się zinfiltrować sieci związane z infra­struk­turą krytyczną. O sprawie miał wiedzieć już poprzednie konserwatywne gabinety, które zdecydowały się jej nie upubliczniać. Labourzyści postanowili nie podawać do publicznej wiadomości szczegółów zajścia, mieli jednak zintensyfikować prace nad poprawą cyber­bez­pie­czeństwa.

Pod koniec sierpnia ubiegłego roku Bitkom, organizacja niemieckiej branży IT, ogłosiła rezultaty badania wśród niemieckich firm z różnych sektorów na temat ataków hakerskich. Okazało się, że w okresie od sierpnia 2023 do sierpnia 2024 roku aż 80% respondentów padło ofiarą ataków. Aż 45% miało pochodzić z Chin, 39% – z Rosji. Uwidoczniła się przy tym pewna zmiana. W poprzednim 12‑miesięcz­nym okresie to Rosjanie odpowiadali za 46% ataków, a Chińczycy za 42%. Według ocen Bitkom w 2024 roku hakerzy wyrządzili niemieckiej gospodarce szkody w wysokości 267 miliardów euro.

Zdaniem Ralfa Wintergersta, prezesa Bitkom, w najbliższych latach nie widać szans na poprawę sytuacji, a firmy mogą jedynie zwiększyć nakłady na cyber­bez­pie­czeń­stwo. W podobnym duchu wypowiadał się szef brytyjskiego MI5 Ken McCallum. Przestrzegał on, że Wielka Brytania i jej sojusznicy „powinni spodziewać się dalszego testowania, a miejscami pokonywania” swoich cyber­za­bez­pieczeń.

Czy na pewno zmiana?

Ujawnienie haku telekomu­ni­ka­cyj­nego dopro­wa­dziło do poja­wie­nia się wśród amery­kań­skich ekspertów i dziennikarzy opinii, że oto jesteśmy świadkami epokowej zmiany w działalności chińskich cyber­wojow­ni­ków. Przeszli oni rzekomo od często niezgrabnie prowadzonego szpiegostwa przemysłowego do zakrojonych na szeroką skalę operacji wpływu i przenikania do kluczowych sieci rządowych i infrastruktury krytycznej.

Czy na pewno? Już przytoczone w tym tekście przykłady sięgają roku 2021. Jeśli należałoby wskazać punkt zwrotny, to byłby to początek roku 2020 i pandemia COVID-19. Chiny zainicjowały wówczas olbrzymią kampanię mającą zdjąć z nich wszelką odpowiedzialność za wybuch i rozprzestrzenianie się pandemii. W jej cieniu ruszyła prowadzona z nie mniejszym rozmachem kampania ataków hakerskich na instytucje rządowe, służbę zdrowia, przemysł farmaceutyczny, petrochemiczny i zbrojeniowy, banki, uczelnie wyższe, transport oraz telekomunikację w Stanach Zjednoczonych, Wielkiej Brytanii, Francji, Japonii, Indiach, Australii, Finlandii, a także Polsce.

Chińczycy intensywnie uczyli się od Rosjan, a następnie zaczęli udosko­na­lać ich metody. Coraz bardziej zaczęła być także widoczna współpraca między obydwoma państwami. Do tej pory w otwartych źródłach brak informacji o wspólnych chińsko-rosyjskich akcjach, ale wyraźnie widoczna jest koordynacja, szczególnie w zakresie dezinformacji.

Działania dezinformacyjne i propa­gan­dowe, a także sabotaż odgrywały istotna rolę w radzieckich, a następnie rosyjskich koncepcjach wojny. Celem takich operacji było i jest zdemoralizowanie przeciwnika i odebranie mu woli walki. Z czasem wykrystalizowała się z tego koncepcja wojny nieliniowej z jej naciskiem na zastosowanie informacji jako broni w walce o zdobycie przewagi w sferze mentalnej (noosferze). Głównym narzędziem walki stała się psychologia, a jej najważniejszym uczestnikiem (celem ataku) – ludność cywilna w innych krajach.

Rosyjskie idee spotkały się z żywym zainteresowaniem w Chinach. Ale wszystkich, którzy będą doszukiwać się związków z Sun Zi, czeka rozczarowanie. Zarówno dla Rosjan, jak i dla Chińczyków działania hybrydowe nie służą odniesieniu zwycięstwa bez walki. Infiltracja i demoralizacja to jedynie etap przygotowawczy do normalnej inwazji. Kolejni włodarze Kremla i Zhongnanhai widzieli w nich sposób na zniwelowanie gospodarczej, technicznej i militarnej przewagi Zachodu. W tych założeniach działania hybrydowe to broń słabszych, mająca wyrównać ich szanse w walce z silniejszym przeciwnikiem.

– Starają się uzyskać asymetryczną przewagę w kryzysie lub konflikcie – stwierdził w rozmowie z Breaking Defense David Frederick, wice­dyrek­tor NSA do spraw Chin. – Jeśli spojrzeć na koszty i korzyści z ich punktu widzenia oraz na rozległość celów w Stanach Zjednoczonych i u naszych sojuszników pod względem globalnych sieci, nie będą zmotywowani do zatrzymania się.

Skala ataków hakerskich w USA pokazała bezsensowność założeń, z których wyszli amerykańscy decydenci. Częste ujawnianie wykrycia aktywności chińskiego wywiadu miało służyć odstraszaniu. Z Waszyngtonu płynął przekaz: „widzimy was, patrzymy wam na ręce, dajcie sobie spokój”. Wprowa­dze­nie koncepcji odstra­sza­nia od działań wywiadowczych jest pomysłem nowatorskim i co najmniej dziwnym. Żeby odstraszanie było skuteczne, odstraszany musi obawiać się konsekwencji ze strony odstra­sza­ją­cego. Nic takiego nie zachodzi. Działania wywiadowcze kierują się inną logiką niż relacje między państwami, a z perspektywy Pekinu i Moskwy konsekwencje są wliczone w koszta. Amerykańskie sankcje na chińskie firmy technologiczne i tak będą nakładane, dlaczego więc rezygnować z operacji przynoszących wymierne korzyści?

Można też podejść do sprawy odwrotnie. To Chiny starają się odstraszyć Stany Zjednoczone, zwłaszcza w obliczu zbliżającej się drugiej kadencji Donalda Trumpa. Oficjalnie Pekin jest przygotowany na Trumpa 2.0, ale w Zhongnanhai muszą doskonale zdawać sobie sprawę, że Trump będzie w stanie zaskoczyć i nawet jeśli nie przyprzeć do muru, to poważnie utrudnić życie. Stąd też rozbudowa arsenału jądrowego i regularne demonstracje w postaci ujawnienia lotów prototypów lub zaawan­so­wa­nych demon­stra­to­rów samo­lotów bojowych nowej generacji.

A w Chinach

Tymczasem w samych Chinach tamtej­sze służby mają pełne ręce roboty. Jak donosi Bloomberg, niezadowolenie z rządów Xi Jinpinga osiągnęło w pewnych kręgach na tyle wysoki poziom, że CIA widzi spore szanse na zwiększenie werbunku agentów. Przypomnijmy, że amerykański wywiad cały czas stara się odbudować swoją siatkę szpiegowską w Chinach, która została rozbita w latach 2010-2012 w wyniku luki w systemie komunikacji z agentami.

Efektem ubocznym tych wydarzeń stała się cały czas rosnąca paranoja chińskiego przywództwa oraz węszenie wszędzie zdrajców i obcych szpiegów. Jak to jednak zwykle bywa w systemie komunistycznym, własne społeczeństwo często jest postrzegane przez rządzących jako wróg na równi z wszelkimi „imperialistami”. Stąd rosnące działania wymierzone w chińskich dysydentów, także przebywających za granicą.

W samych Chinach prowincjonalne działy ministerstwa bezpieczeństwa publicznego na szeroką skalę mają co najmniej od roku 2017 stosować oprogramowanie EagleMsgSpy. Narzędzie umożliwia nie tylko pobieranie wiadomości tekstowych, nagrań dźwięku i danych loka­li­za­cyj­nych z zainfe­ko­wa­nych tele­fonów, ale także odczytywanie szyfrowanych wiadomości z WhatsAppa, WeChata i Telegramu. Skradzione dane są gromadzone w obszarze przejściowym, a następnie kompresowane i wysyłane na serwer zewnętrzny. Ażeby zainfekować urządzenie, konieczne jest fizyczne połączenie przez USB, ale druga możliwość to bardzo popularne w Chinach kody QR stosowane praktycznie do wszystkiego, z płatnościami włącznie.

W przygotowanym przez firmę badawczą Lookout raporcie jako twórcę EagleMsgSpy zidentyfikowano Wuhan Chinasoft Token Information Technology. Wskazano też na możliwe powiązania firmy z Wuhanu z Topsec, jednym z największych na rynku chińskim przed­się­biorstw odpo­wia­da­ją­cych za cyber­bez­pie­czeń­stwo. To oczywiście nie koniec historii. W grudniu ubiegłego roku była spółka zależna Topsecu została objęta amerykańskimi sankcjami za rolę w narażeniu na szwank tysięcy zapór sieciowych na całym świecie.

Staff Sgt. Chad Simon