Среди рисков кибербезопасности, с которыми сегодня сталкиваются Соединенные Штаты, лишь немногие кажутся более значительными, чем потенциальные возможности саботажа, исходящие от поддерживаемых Китаем хакеров, которые высокопоставленные представители национальной безопасности США назвали «определяющей эпоху угрозой».
США заявляют, что хакеры, поддерживаемые китайским правительством, — в некоторых случаях в течение многих лет — глубоко проникают в сети критически важной инфраструктуры США, включая поставщиков воды, энергии и транспорта. Цель, по словам официальных лиц, состоит в том, чтобы заложить основу для потенциально разрушительных кибератак в случае будущего конфликта между Китаем и Соединенными Штатами, например, из-за возможного китайского вторжения на Тайвань.
«Китайские хакеры атакуют американскую инфраструктуру, готовясь посеять хаос и нанести реальный вред американским гражданам и сообществам, если или когда Китай решит, что пришло время нанести удар», — заявил законодателям в прошлом году уходящий в отставку директор ФБР Кристофер Рэй.
Правительство США и его союзники с тех пор приняли меры против некоторых китайских хакерских групп семейства «Тайфун» и опубликовали новые подробности об угрозах, исходящих от этих групп.
В январе 2024 года США разрушили «Вольт Тайфун», группу хакеров китайского правительства, которым было поручено подготовить почву для разрушительных кибератак. Позже, в сентябре 2024 года, федеральные власти взяли под свой контроль ботнет, которым управляет другая китайская хакерская группа под названием «Льняной тайфун», которая использовала пекинскую компанию по кибербезопасности, чтобы помочь скрыть деятельность правительственных хакеров Китая. Затем, в декабре 2025 года, правительство США наложило санкции на компанию, занимающуюся кибербезопасностью, за ее предполагаемую роль в «множественных инцидентах с компьютерными вторжениями против жертв США».
С момента появления Volt Typhoon в сетях американских телефонных и интернет-гигантов появилась еще одна новая хакерская группа, поддерживаемая Китаем, под названием «Salt Typhoon», способная собирать разведданные об американцах (и потенциальных объектах слежки США) путем компрометации телекоммуникационных систем, используемых для прослушивание телефонных разговоров правоохранительными органами.
Вот что мы узнали о китайских хакерских группах, готовящихся к войне.
Вольт Тайфун
Volt Typhoon представляет собой новое поколение хакерских групп, поддерживаемых Китаем; По словам тогдашнего директора ФБР, цель уже не просто украсть секретные секреты США, а, скорее, готовиться подорвать «способность американских вооруженных сил к мобилизации».
Microsoft впервые обнаружила Volt Typhoon в мае 2023 года, обнаружив, что хакеры атаковали и взломали сетевое оборудование, такое как маршрутизаторы, межсетевые экраны и VPN, по крайней мере с середины 2021 года в рамках постоянных и согласованных усилий по глубокому проникновению в системы Критическая инфраструктура США. В разведывательном сообществе США заявили, что на самом деле хакеры, вероятно, действовали гораздо дольше, возможно, до пяти лет.
Volt Typhoon взломал тысячи этих подключенных к Интернету устройств в течение нескольких месяцев после отчета Microsoft, используя уязвимости в устройствах, которые считались «устаревшими» и поэтому больше не получали обновления безопасности. Впоследствии хакерская группа получила дополнительный доступ к ИТ-среде нескольких критически важных секторов инфраструктуры, включая авиацию, водное хозяйство, энергетику и транспорт, что позволило подготовиться к активизации будущих разрушительных кибератак, направленных на замедление реакции правительства США на вторжение его ключевого союзника. Тайвань.
«Этот субъект не занимается тайным сбором разведданных и кражей секретов, что было нормой в США. Они исследуют чувствительную критически важную инфраструктуру, чтобы они могли нарушить работу основных служб, если и когда приказ будет отменен», — сказал Джон Халтквист, руководитель аналитик охранной фирмы Mandiant.
В январе 2024 года правительство США заявило, что оно успешно разрушило бот-сеть, используемую Volt Typhoon и состоящую из тысяч захваченных маршрутизаторов небольших офисов и домашних сетей в США, которые китайская хакерская группа использовала для сокрытия своей вредоносной деятельности, направленной против США. критическая инфраструктура. ФБР заявило, что смогло удалить вредоносное ПО с захваченных маршрутизаторов с помощью операции, санкционированной судом, разорвав соединение китайской хакерской группы с ботнетом.
По данным Bloomberg, к январю 2025 года США обнаружили более 100 вторжений по всей стране и ее территориям, связанных с тайфуном «Вольт». В докладе говорится, что большое количество этих атак было нацелено на Гуам, островную территорию США в Тихом океане и стратегическое место для американских военных операций. Утверждается, что «Тайфун Вольт» нанес удар по критически важной инфраструктуре на острове, включая его главную энергетическую станцию, крупнейшего оператора сотовой связи на острове, а также несколько федеральных сетей США, включая чувствительные системы обороны, базирующиеся на Гуаме. Bloomberg сообщил, что Volt Typhoon использовал совершенно новый вид вредоносного ПО для атак на сети на Гуаме, который он никогда раньше не применял, что исследователи восприняли как признак высокой важности этого региона для хакеров, поддерживаемых Китаем.
Льняной тайфун
Flax Typhoon, впервые раскрытая Microsoft несколько месяцев спустя в отчете за август 2023 года, представляет собой еще одну хакерскую группу, поддерживаемую Китаем. годы. Microsoft заявила, что Flax Typhoon, также действующая с середины 2021 года, в основном нацелена на десятки «правительственных учреждений и организаций в сфере образования, критического производства и информационных технологий на Тайване».
Затем, в сентябре 2023 года, правительство США заявило, что взяло под свой контроль еще один ботнет, который состоял из сотен тысяч захваченных подключенных к Интернету устройств и использовался Flax Typhoon для «осуществления вредоносной киберактивности, замаскированной под обычный интернет-трафик из зараженные потребительские устройства». Прокуроры заявили, что ботнет позволил другим хакерам, поддерживаемым правительством Китая, «взламывать сети в США и по всему миру, чтобы украсть информацию и подвергнуть нашу инфраструктуру риску».
Позже Министерство юстиции подтвердило выводы Microsoft, добавив, что Flax Typhoon также «атаковал несколько американских и иностранных корпораций».
Официальные лица США заявили, что ботнет, используемый Flax Typhoon, управлялся и контролировался пекинской компанией по кибербезопасности Integrity Technology Group. В январе 2024 года правительство США ввело санкции в отношении Integrity Tech из-за ее предполагаемых связей с Flax Typhoon.
Соляной тайфун
Последней — и, возможно, самой зловещей — группировкой в поддерживаемой правительством Китая киберармии, обнаруженной в последние месяцы, является «Соляной тайфун».
В октябре 2024 года «Соляной тайфун» попал в заголовки газет из-за другого рода операции по сбору информации. Как впервые сообщило The Wall Street Journal, связанная с Китаем хакерская группа взломала несколько американских телекоммуникационных и интернет-провайдеров, включая AT&T, Lumen (ранее CenturyLink) и Verizon. Позже, в январе 2025 года, журнал сообщил, что Salt Typhoon также взломал американских интернет-провайдеров Charter Communications и Windstream. Американский представитель кибербезопасности Энн Нойбергер заявила, что федеральное правительство выявило неназванную девятую взломанную телекоммуникационную компанию.
Согласно одному из отчетов, Salt Typhoon могла получить доступ к этим телекоммуникационным компаниям, используя взломанные маршрутизаторы Cisco. Оказавшись внутри сетей телекоммуникационной компании, злоумышленники смогли получить доступ к метаданным звонков и текстовых сообщений клиентов, включая отметки даты и времени общения с клиентами, IP-адреса источника и назначения, а также номера телефонов более миллиона пользователей; большинство из которых были лицами, находившимися в районе Вашингтона, округ Колумбия. В некоторых случаях хакерам удавалось перехватывать телефонные разговоры пожилых американцев. Нойбергер сказал, что «большое количество» тех, у кого был доступ к данным, были «объектами интереса правительства».
Взломав системы, которые правоохранительные органы используют для санкционированного судом сбора данных о клиентах, Salt Typhoon также потенциально получила доступ к данным и системам, в которых хранится большая часть запросов правительства США, включая потенциальные личности китайских объектов слежки со стороны США.
Пока неизвестно, когда произошло нарушение систем прослушивания телефонных разговоров, но, согласно сообщению журнала, оно может датироваться началом 2024 года.
В декабре 2024 года AT&T и Verizon сообщили TechCrunch, что их сети оказались в безопасности после того, как на них напала шпионская группа «Соляной тайфун». Вскоре после этого Lumen подтвердила, что ее сеть защищена от хакеров.
Впервые опубликовано 13 октября 2024 г. и обновлено.
