Уже довольно давно эксперты рассказывают о масштабном противостоянии между ведущими державами, которое ведётся в виртуальном пространстве. Считается, что тысячи хакеров находятся на переднем краю, нарушая работу критической инфраструктуры и социальных объектов потенциального противника. Даже те хакеры, что действуют относительно свободно, обладают определёнными идеологическими принципами, а многие из известных группировок работают только в тех или иных регионах. Поговаривают о хакерских группах из Северной Кореи, которые целыми днями грабят майнеров и держателей криптовалют. Кто-то рассказывает о вездесущих русских, но куда интереснее противостояние США и Китая, которое ведётся с использованием самых передовых технологических средств. Неясно, какая сторона побеждает, но в данном случае это не так важно, ведь появилась любопытная информация об одном единственном эпизоде затяжного кибер-конфликта.
Информация о масштабном проникновении китайских хакеров была обнародована в отчёте Агентства по защите инфраструктуры и кибербезопасности США (CISA), АНБ, ФБР. Данные были проверены и подтверждены членами альянса Five Eyes. Оказывается, группировка китайских хакеров под названием Volt Typhoon имела доступ к критической инфраструктуре американских организаций целых пять лет. Большая часть подобных компаний принадлежала к сферам коммуникаций, энергетики, транспорта, водоснабжения и канализации. Эксперты полагают, что конечная цель хакеров заключалась в проникновении в управляющие системы всей критической инфраструктуры с намерением нарушить их работу в случае возникновения крупного политического кризиса или прямого конфликта между КНР и США. Аналитики уверены, что столь масштабная кибератака на инфраструктурные объекты той или иной страны может иметь такие же разрушительные последствия, как и применение оружия массового поражения.
Проблема в том, что ведущие страны не готовы подписывать соглашения, запрещающие использование кибероружия, а в итоге приходится не только атаковать противника для поддержания баланса сил, но и активно защищать свою критическую инфраструктуру. Американская сторона, которая обнаружила хакеров в своей системе, поделилась некоторыми подробностями. Оказывается, представители Volt Typhoon проводили обширную разведку, изучали информационную инфраструктуру и подстраивали свои тактики и методы под особенности защитных механизмов той или иной компании США. Даже после первоначального вторжения хакеры продолжали изучать скомпрометированную инфраструктуру, стремясь понять, как она работает и пытаться как можно дольше оставаться незамеченными. Одной из особенностей действий команды Volt Typhoon является использование методов LOTL. Это значит, что китайские хакеры задействовали целый арсенал легальных сетевых инструментов для скрытного передвижения по скомпрометированной инфраструктуре. Эти методы существенно усложняют обнаружение вредоносной активности, ведь отличить подобные действия от стандартных процессов крайне сложно.
Volt Typhoon (также известная как Bronze Silhouette) была впервые выявлена в мае 2023 года специалистами по информационной безопасности из Microsoft. В первоначальном исследовании говорилось, что эта группа атаковала критическую инфраструктуру США с середины 2021 года. Помимо этого, хакеры использовали ботсеть KV-botnet, включающую сотни тысяч роутеров и IP-камер, установленных в сетях нескольких сотен частных компаний по всей территории США. В начале декабря 2023 года агенты ФБР получили судебный ордер и перехватили контроль над ключевым управляющим сервером ботсети, лишив хакеров доступа к конечным устройствам. Эксперты Lumen Black Lotus Labs обезвредили оставшиеся серверы управления и загрузки. Впоследствии хакеры Volt Typhoon пытались восстановить ботсеть, осуществив широкомасштабную атаку на общее количество в 3045 устройств. Тогда им удалось так или иначе проникнуть только в 630 устройств. После этого производители роутеров и другого сетевого оборудования выпустили специальные патчи, закрывающие уязвимости нулевого дня. О судьбе команды Volt Typhoon ничего не известно, но можно предположить, что хакеры не сидят сложа руки. Неясно, сколько информации получили в свои руки представители группировки, и как всем этим решено будет воспользоваться. Не исключено, что взлом был намного масштабнее, чем пишут в прессе, ведь хакеры не сидели бы 5 лет в сети без какого-либо смысла. А значит в будущем мы ещё услышим отголоски провала американских спецслужб, допустивших проникновение в собственную критическую инфраструктуру.
