Καθώς κρατικοί χάκερ που εργάζονται για λογαριασμό της Ρωσίας, του Ιράν και της Βόρειας Κορέας έχουν προκαλέσει τον όλεθρο με ανατρεπτικές επιθέσεις στον κυβερνοχώρο σε όλο τον κόσμο, οι χάκερ του στρατού και των μυστικών υπηρεσιών της Κίνας διατηρούν σε μεγάλο βαθμό τη φήμη ότι περιορίζουν τις εισβολές τους στην κατασκοπεία. Αλλά όταν αυτοί οι κυβερνοκατασκοπευτές παραβιάζουν κρίσιμες υποδομές στις Ηνωμένες Πολιτείες -και συγκεκριμένα σε ένα αμερικανικό έδαφος στο κατώφλι της Κίνας- η κατασκοπεία, ο σχεδιασμός έκτακτης ανάγκης συγκρούσεων και η κλιμάκωση του κυβερνοπολέμου αρχίζουν να μοιάζουν επικίνδυνα.
Την Τετάρτη, η Microsoft αποκάλυψε σε μια ανάρτηση ιστολογίου ότι παρακολούθησε μια ομάδα που πιστεύει ότι είναι κινεζικοί χάκερ που χρηματοδοτούνται από το κράτος που έχουν πραγματοποιήσει από το 2021 μια ευρεία εκστρατεία hacking που έχει στοχεύσει συστήματα υποδομής ζωτικής σημασίας στις πολιτείες των ΗΠΑ και στο Γκουάμ, συμπεριλαμβανομένων των επικοινωνιών , κατασκευή, επιχειρήσεις κοινής ωφέλειας, κατασκευές και μεταφορές.
Οι προθέσεις της ομάδας, την οποία η Microsoft ονόμασε Volt Typhoon, μπορεί να είναι απλώς κατασκοπεία, δεδομένου ότι δεν φαίνεται να έχει χρησιμοποιήσει την πρόσβασή της σε αυτά τα κρίσιμα δίκτυα για να πραγματοποιήσει καταστροφή δεδομένων ή άλλες επιθετικές επιθέσεις. Ωστόσο, η Microsoft προειδοποιεί ότι η φύση της στόχευσης της ομάδας, συμπεριλαμβανομένης της επικράτειας του Ειρηνικού που θα μπορούσε να διαδραματίσει βασικό ρόλο σε μια στρατιωτική ή διπλωματική σύγκρουση με την Κίνα, μπορεί ακόμη να επιτρέψει αυτού του είδους την αναστάτωση.
«Η παρατηρούμενη συμπεριφορά υποδηλώνει ότι ο παράγοντας απειλής σκοπεύει να πραγματοποιήσει κατασκοπεία και να διατηρήσει την πρόσβαση χωρίς να εντοπιστεί για όσο το δυνατόν περισσότερο», αναφέρει η ανάρτηση ιστολογίου της εταιρείας. Αλλά συνδυάζει αυτή τη δήλωση με μια εκτίμηση με «μέτρια σιγουριά» ότι οι χάκερ «επιδιώκουν την ανάπτυξη δυνατοτήτων που θα μπορούσαν να διαταράξουν κρίσιμη υποδομή επικοινωνιών μεταξύ των Ηνωμένων Πολιτειών και της περιοχής της Ασίας κατά τη διάρκεια μελλοντικών κρίσεων».
Η εταιρεία κυβερνοασφάλειας Mandiant που ανήκει στην Google λέει ότι έχει επίσης παρακολουθήσει μια σειρά από εισβολές της ομάδας και προσφέρει παρόμοια προειδοποίηση σχετικά με την εστίαση της ομάδας σε κρίσιμες υποδομές «Δεν υπάρχει σαφής σύνδεση με πληροφορίες πνευματικής ιδιοκτησίας ή πολιτικής που περιμένουμε από μια επιχείρηση κατασκοπείας». λέει ο John Hultquist, ο οποίος είναι επικεφαλής πληροφοριών απειλών στη Mandiant. «Αυτό μας οδηγεί να αναρωτηθούμε εάν είναι εκεί επειδή οι στόχοι είναι κρίσιμοι. Η ανησυχία μας είναι ότι η εστίαση στις υποδομές ζωτικής σημασίας είναι η προετοιμασία για πιθανή αποτρεπτική ή καταστροφική επίθεση».
Αυτό ευθυγραμμίζεται με τα συμπεράσματα της Microsoft. Ένας εκπρόσωπος είπε στο WIRED σε μια δήλωση ότι η εταιρεία έχει μέτρια εμπιστοσύνη για τον όμιλο που θέτει τα θεμέλια για να επεκτείνει τις δραστηριότητές του πέρα από την κατασκοπεία, επειδή «υπάρχει η δυνατότητα διακοπής», αλλά δεν υπάρχουν αρκετά στοιχεία που να δείχνουν «σαφή πρόθεση διακοπής».
«Οι ενέργειες της ομάδας υποδηλώνουν ότι δεν πρόκειται για αποκλειστικά κατασκοπευτικό στόχο», έγραψε ο εκπρόσωπος στη δήλωση. «Η εστιασμένη προσπάθεια για τη διατήρηση της πρόσβασης σε αυτούς τους τύπους στοχευμένων οργανισμών υποδηλώνει ότι ο παράγοντας της απειλής αναμένει πρόσθετες μελλοντικές επιχειρήσεις εναντίον αυτών των συστημάτων».
Η ανάρτηση ιστολογίου της Microsoft πρόσφερε τεχνικές λεπτομέρειες για τις εισβολές των χάκερ που μπορεί να βοηθήσουν τους υπερασπιστές του δικτύου να τους εντοπίσουν και να τους εκδιώξουν: Η ομάδα, για παράδειγμα, χρησιμοποιεί παραβιασμένους δρομολογητές, τείχη προστασίας και άλλες συσκευές “άκρης” δικτύου ως διαμεσολαβητές για την εκτόξευση της πειρατείας της – στοχεύοντας συσκευές που περιλαμβάνουν αυτά που πωλούνται από τους κατασκευαστές υλικού ASUS, Cisco, D-Link, Netgear και Zyxel. Η ομάδα επίσης συχνά εκμεταλλεύεται την πρόσβαση που παρέχεται από παραβιασμένους λογαριασμούς νόμιμων χρηστών και όχι από το δικό της κακόβουλο λογισμικό για να κάνει τη δραστηριότητά της πιο δύσκολο να εντοπιστεί φαίνοντας ότι είναι καλοήθης.
Η ανάμειξη με την κανονική κίνηση δικτύου ενός στόχου σε μια προσπάθεια αποφυγής ανίχνευσης είναι χαρακτηριστικό γνώρισμα της προσέγγισης του Volt Typhoon και άλλων κινεζικών παραγόντων τα τελευταία χρόνια, λέει ο Marc Burnard, ανώτερος σύμβουλος έρευνας για την ασφάλεια πληροφοριών στη Secureworks. Όπως η Microsoft και η Mandiant, η Secureworks παρακολουθεί την ομάδα και παρατηρεί τις καμπάνιες της. Πρόσθεσε ότι η ομάδα έχει επιδείξει «αμείλικτη εστίαση στην προσαρμογή» για να συνεχίσει την κατασκοπεία της.
Οι κυβερνητικές υπηρεσίες των ΗΠΑ, συμπεριλαμβανομένης της Υπηρεσίας Εθνικής Ασφάλειας, της Υπηρεσίας Κυβερνοασφάλειας και Ασφάλειας Υποδομής (CISA), και του Υπουργείου Δικαιοσύνης δημοσίευσαν μια κοινή συμβουλή σχετικά με τη δραστηριότητα του Volt Typhoon σήμερα μαζί με τις υπηρεσίες πληροφοριών του Καναδά, του Ηνωμένου Βασιλείου και της Αυστραλίας. «Οι εταίροι του ιδιωτικού τομέα έχουν εντοπίσει ότι αυτή η δραστηριότητα επηρεάζει δίκτυα σε τομείς υποδομών ζωτικής σημασίας των ΗΠΑ και οι εταιρείες συγγραφής πιστεύουν ότι ο ηθοποιός θα μπορούσε να εφαρμόσει τις ίδιες τεχνικές σε αυτούς και σε άλλους τομείς παγκοσμίως», έγραψαν τα πρακτορεία.