Спецпроекты

Безопасность Интернет

Инфраструктура американских провайдеров под ударом зарубежных хакеров

В последнее время Китай очень активно атакует американскую цифровую инфраструктуру. В основном с целью создания «закладок на будущее».

Осведомленные лица говорят

Издание The Wall Street Journal в среду сообщило, что хакеры, предположительно работающие на спецслужбы Китая, смогли проникнуть в инфраструктуру нескольких интернет-провайдеров США. Целью атак было похищение данных и, возможно, создание плацдарма для последующих атак.

Источником данных WSJ называет «осведомленных лиц». Объектом атак стало «небольшое число» кабельных операторов и провайдеров широкополосного доступа. Как утверждает The Wall Street Journal, за атакой стоит APT-группировка Salt Typhoon, известная так же под наименованием FamousSparrow и GhostEmperor.

Первыми GhostEmperor обнаружили эксперты компании «Лаборатория Касперского»: в октябре 2021 г. они сообщили о выявлении весьма скрытной кампании, нацеленной на различные высокопрофильные компании в Малайзии, Таиланде, Вьетнаме, Индонезии, а также их ответвления в Египте, Эфиопии и Афганистане.

Объектами атак хакеров стали американские кабельные операторы и провайдеры широкополосного доступа

Во всех случаях наблюдались попытки установить руткит, известный как Demodex. Различные варианты этого руткита наблюдались самое позднее до 2023 г. включительно.

Без подробностей, без комментариев

Подробностей о нынешней атаке не много, технических деталей WSJ не приводит. Известно, что в прошлом эта APT-группа использовала уязвимости в общедоступных сетевых приложениях, и многоступенчатую процедуру установки Demodex в обход защитных средств Windows.

Издание Dark Reading, в свою очередь, приводит слова нескольких экспертов, утверждающих, что Китай явно приготовился вести кибервойну с США, если те попытаются помешать захвату Тайваня. В январе Microsoft объявила о выявлении еще одной APT-группы из КНР, названную Volt Typhoon, которая пыталась внедриться в сети военных баз, объектов критической гражданской инфраструктуры и телекоммуникации. Вероятнее всего – как раз затем, чтобы саботировать их в случае надобности.

Китай, как обычно, отверг все обвинения, а APT-группировки, которым приписывается работа на спецслужбы Китая, только увеличили свою активность, несмотря на то, что их деятельность больше не является секретом.

Накануне кибервойны?

На прошлой неделе стало известно, что еще одна группа – Flax Typhoon, также китайского происхождения, построила ботнет из устройств интернета вещей для ведения шпионской деятельности в правительственных, военных и промышленных сетях США. Ботнет был нейтрализован ФБР.

Что же касается интернет-провайдеров, то опрошенные Dark Reading эксперты считают, что их защита нуждается в усилении, и что самым слабым местом для них являются программные оболочки используемых аппаратных устройств. Особенно если те поставлялись из Китая.

«Перед нами – очередное свидетельство тому, что милитаризация интернет-пространства грозит перейти все границы разумного, и что мечты о том, что Всемирная Сеть сблизит различные общества и государства, не имели под собой никакой почвы, – считает Анастасия Мельникова, директор по информационной безопасности компании SEQ. – Успешная атака на объекты критической гражданской инфраструктуры, где бы такая ни состоялась, может иметь последствия, сопоставимые с применением оружия массового поражения. Но если использование такового хоть чем-то регулируется, для кибератак никаких Женевских Конвенций нет, да и установить виновников потенциальной катастрофы с исключающей сомнения точностью может быть очень сложно».

По мнению эксперта, переход кибервойны на новый уровень с причинением реального материального ущерба может иметь глобальный охват, а когда и если это случится, обсуждать допустимость или недопустимость таких атак будет слишком поздно.

Роман Георгиев

Короткая ссылка