Čínski hackeri sa v tichom kybernetickom útoku zameriavajú na amerických poskytovateľov internetu

Odhalila sa nová mrazivá kapitola v kybernetickom boji, keď hackeri podporovaní Čínou prelomili digitálnu obranu niekoľkých amerických poskytovateľov internetových služieb (ISP). V alarmujúcom odhalení prebieha skrytá kampaň zameraná na preniknutie do kritickej infraštruktúry, pričom odborníci sa teraz snažia odhaliť celý rozsah škôd.

Podľa nedávnej správy The Wall Street Journal sa tento útok pripisuje sofistikovanej skupine hackerov sledovaných Microsoftom pod kódovým označením Salt Typhoon. Títo kyberzločinci, známi aj pod svojimi prezývkami, FamousSparrow a GhostEmperor, sú súčasťou väčšej siete štátom sponzorovaných aktérov hrozieb spojených s Pekingom.

Tichá sabotáž amerických sietí

To, čo robí túto kybernetickú operáciu obzvlášť desivou, je rozsah jej ambícií. Zdroje blízke vyšetrovaniu naznačujú, že títo hackeri mohli preniknúť do hlavných smerovačov spoločnosti Cisco Systems, zariadení, ktoré kontrolujú obrovské množstvo internetovej prevádzky v USA. Nejde o obyčajné porušenia. Získanie prístupu k tejto úrovni infraštruktúry znamená, že by teoreticky mohli monitorovať, presmerovať alebo dokonca ochromiť internetovú komunikáciu bez toho, aby si to niekto hneď všimol.

Zdá sa, že hlavným cieľom hackerov je udržanie dlhodobého prístupu, ktorý im umožní ľubovoľne vysávať citlivé údaje alebo potenciálne spustiť ničivé kybernetické útoky. Tieto typy operácií sú viac než len priestupok – sú to pomaly sa rozbiehajúce sabotáže, ktoré potichu hnisajú v pozadí a číhajú.

The Ghost in the Machine - Kto je GhostEmperor?

Skupina za týmto znepokojujúcim útokom, GhostEmperor, nie je na scéne nová. V skutočnosti ich prvýkrát identifikovala kybernetická bezpečnostná firma Kaspersky v roku 2021. V tom čase už skupina vykonávala veľmi vyhýbavé kybernetické operácie v juhovýchodnej Ázii. Pomocou tajného rootkitu známeho ako Demodex infiltrovali siete roky predtým, ako boli odhalené ich aktivity.

Krajiny ako Thajsko, Vietnam a Malajzia boli medzi ich prvými obeťami. Ale dosah GhostEmperor nebol obmedzený na Áziu. Ciele sa šíria po celom svete, od Afriky po Blízky východ, pričom korisťou sa stávajú aj inštitúcie v Egypte, Etiópii a Afganistane. Každý útok prebiehal podľa známeho vzoru: opatrné vniknutie, po ktorom nasledovalo tiché vytvorenie oporu v kritických systémoch.

Najnovšie, v júli 2024, kybernetická bezpečnostná firma Sygnia odhalila, že jedného z jej klientov kompromitovala táto tieňová skupina. Hackeri využili svoj prístup, aby prenikli nielen do spoločnosti, ale aj do siete jej obchodného partnera, a to pomocou rôznych nástrojov na komunikáciu s ich príkazovými a riadiacimi servermi. Je znepokojujúce, že jeden z týchto nástrojov bol identifikovaný ako variant rootkitu Demodex, ktorý ukazuje pokračujúci vývoj skupiny v jej hackerských technikách.

Útok na infraštruktúru riadený národným štátom

Toto porušenie amerických poskytovateľov internetových služieb nie je ojedinelým incidentom. Je to súčasť širšieho, hlboko znepokojujúceho trendu čínskych štátom sponzorovaných útokov na kritickú infraštruktúru. Len niekoľko dní predtým, ako tento útok vyšiel najavo, americká vláda rozobrala botnet s 260 000 zariadeniami známy ako „Raptor Train“, ďalšiu kybernetickú zbraň, ktorú nasadila skupina Flax Typhoon podporovaná Pekingom. Tento botnet, ktorý je schopný spustiť rozsiahle kybernetické narušenie, je triezvou pripomienkou rozsahu týchto hrozieb.

Zapojenie čínskej vlády do týchto kampaní poukazuje na dlhodobú stratégiu zameranú na destabilizáciu rivalov a presadenie kontroly nad kľúčovými globálnymi sieťami. Nejde len o špehovanie utajovaných údajov alebo krádež duševného vlastníctva – ide o získanie schopnosti kontrolovať alebo narúšať základné služby, ak by sa geopolitické vetry zmenili.

Čo je v stávke?

Dôsledky týchto útokov sú priam desivé. Vďaka získaniu prístupu k poskytovateľom internetových služieb môžu hackeri monitorovať obrovské množstvo internetovej prevádzky a komunikácie. Od podnikov až po jednotlivcov, nikto nie je imúnny voči potenciálnemu zberu údajov. Ešte znepokojujúcejšia je myšlienka, čo by sa mohlo stať, keby sa títo hackeri rozhodli využiť svoj prístup na deštruktívnejší účel. Predstavte si scenár, v ktorom sú milióny ľudí náhle odrezané od internetu, alebo čo je horšie, kritické systémy – banky, nemocnice alebo energetické siete – sú odpojené od siete.

Nebezpečenstvo týchto útokov nie je vždy bezprostredne po, ale v neznámej budúcnosti. Títo hackeri hrajú dlhú hru a dnes zasievajú semená, ktoré by zajtra mohli prerásť v plnohodnotnú katastrofu.

Ako to zastavíme?

Pravdou je, že neexistuje žiadna strieborná guľka, ktorá by zastavila štátom sponzorované kybernetické útoky. Odborníci sa však zhodujú, že kľúčová je ostražitosť. Americké spoločnosti, najmä tie, ktoré sú zapojené do kritickej infraštruktúry, musia zdvojnásobiť svoje opatrenia v oblasti kybernetickej bezpečnosti. To zahŕňa:

1. Prísne monitorovanie siete: Analýza sieťovej prevádzky v reálnom čase môže pomôcť včas odhaliť podozrivú aktivitu a obmedziť škody spôsobené narušeniami.

Chladná budúcnosť kybernetického boja

Ako sa digitálne hranice stávajú priepustnejšími, kybernetické vojny sa naďalej vyvíjajú do nebezpečného bojiska, kde nikto nie je skutočne v bezpečí. Čínou podporované hackerské skupiny ako GhostEmperor sa nezameriavajú len na vládne agentúry alebo vojenské zariadenia – infiltrujú sa do sietí, na ktoré sa spoliehame každý deň.

Najznepokojujúcejšia časť zo všetkých? Robia to potichu a väčšinou sa to ani nedozvieme, kým nie je neskoro.

Toto je nová realita, v ktorej žijeme: svet, v ktorom sa internet, kedysi nástroj globálneho spojenia a pokroku, stal aj ihriskom pre špionáž, narušenie a mocenské hry. Keďže štátom sponzorovaní aktéri naďalej zdokonaľujú svoje zručnosti, musíme čeliť mrazivej možnosti, že náš digitálny svet už nie je pod našou kontrolou.