Рекомендация, опубликованная Агентством кибербезопасности и инфраструктурной безопасности (CISA) от 7 февраля, направлена на то, чтобы «предупредить организации критически важной инфраструктуры» о попытках Китая проникнуть, нарушить работу и уничтожить жизненно важные объекты США.
«[Китайские] киберпреступники, спонсируемые государством, стремятся заранее позиционировать себя в ИТ-сетях для подрывных или деструктивных кибератак на критически важную инфраструктуру США в случае крупного кризиса или конфликта с Соединёнными Штатами», — говорится в сообщении.
Вредоносное ПО разработано «для запуска разрушительных кибератак, которые поставили бы под угрозу физическую безопасность американцев и снизили боеготовность к войне».
Суровое предупреждение последовало за показаниями высокопоставленных руководителей разведки Конгрессу на прошлой неделе. Они заявили, что Соединённые Штаты уничтожили китайское вредоносное ПО с более чем 600 маршрутизаторов, связанных с критически важной инфраструктурой США.
Это вредоносное ПО было нацелено на водную, газовую, энергетическую, железнодорожную, воздушную и портовую инфраструктуру.
Эрик Гольдштейн, исполнительный помощник директора CISA по кибербезопасности, сказал, что операция была нацелена лишь на часть китайского вредоносного ПО, которое каждый день пытается проникнуть в системы США.
«Эта угроза не является теоретической, — сказал Гольдштейн во время пресс-конференции в среду. — Это основано на подтверждённых вторжениях в критически важную инфраструктуру США. И мы знаем, что то, что мы нашли — это верхушка айсберга».
Гольдштейн сказал, что объём и тип вредоносного ПО, которое в настоящее время перехватывается спецслужбами, указывают на сдвиг в киберстратегии Китая против Соединённых Штатов.
По его словам, в то время как ранее Китай был сосредоточен на краже интеллектуальной собственности и шпионаже, теперь, похоже, он намерен причинить физический вред и вызвать социальную панику в случае конфликта.
«Стоит отметить, что информация, которую мы публикуем вместе с этим советом, отражает стратегический сдвиг во вредоносной киберактивности [Китая] с акцента на шпионаже и краже IP-адресов на предварительную подготовку к будущим подрывным или деструктивным атакам», — сказал Гольдштейн.
«Наши данные убедительно свидетельствуют о том, что [базирующиеся в Китае] субъекты готовятся к проведению в будущем разрушительных кибератак, которые могут оказать воздействие на национальную безопасность, экономическую безопасность или общественное здравоохранение».
В связи с этим Гольдштейн сказал, что ботнет KV, который разведка США ликвидировала в прошлом месяце, был нацелен не на федеральные правительственные учреждения, а вместо этого сосредоточился на частных организациях, которые обеспечивают наиболее важную инфраструктуру страны.
Ботнет служил механизмом поддержки китайской хакерской группы Volt Typhoon и использовал законные учётные данные и инструменты для сокрытия себя в устаревшем программном обеспечении, срок службы которого истёк.
«Их сильный акцент на скрытности и оперативной безопасности позволяет им сохранять долгосрочную, неоткрытую устойчивость», — говорится в рекомендациях CISA.
«Их цель — добиться и поддерживать устойчивость в сети».
Синтия Кайзер, заместитель помощника директора киберотдела ФБР, описала этот метод как «жизнь за счёт земли», при котором вредоносная группа может внедриться в существующую инфраструктуру, используя подлинные учётные данные и удаляя любую ненормальную активность.
«Участники Volt typhoon могут уклоняться от обнаружения, сливаясь с обычными системами и видами деятельности, что помогает им поддерживать постоянный доступ к сетям, представляющим интерес для будущей деятельности», — сказала она.
«Хотя эти устройства больше не заражены вредоносным ПО KV Botnet, они остаются уязвимыми для будущего заражения как устройства с истёкшим сроком службы».
Компания Microsoft впервые сообщила о Volt Typhoon в мае 2023 года, тогда в ней говорилось, что группа датируется примерно 2021 годом.
Новая рекомендация CISA предполагает, что группа фактически поддерживала «доступ и плацдармы в некоторых ИТ-средах жертв в течение как минимум пяти лет», однако предполагает, что китайское вредоносное ПО воздействовало на системы США гораздо дольше, чем официальные лица знали об этом.
Аналогичным образом, хотя Кайзер описала вредоносное ПО как «значительную угрозу для США», межведомственный ответ, уничтоживший ботнет, был не таким уж незамедлительным.
Отвечая на вопрос The Epoch Times, Кайзер сказала, что операция проводилась в декабре 2023 и январе 2024 годов, более чем через полгода после того, как Microsoft впервые сообщила о Volt Typhoon.
Кайзер не уточнила, действовало ли ФБР, как только смогло устранить угрозу, но сказала, что такие операции требуют тщательного планирования и межведомственной координации.
«Планирование и техническая возможность выполнения таких операций часто требуют определённого времени», — сказала она.
«ФБР определило, что наилучшим действием было бы провести техническую операцию по решительной нейтрализации ботнета своевременным и скоординированным образом, что ограничивает возможности китайского правительства по дальнейшему нацеливанию на американские организации через эту сеть обфускации».
Эта задержка может вызвать опасения у специалистов по безопасности. Остаётся неясным, могли ли поддерживаемые китайским государством субъекты, стоящие за вредоносным ПО, начать атаки на инфраструктуру США в течение длительного времени между обнаружением и ликвидацией.
«Мы знаем, что их целями являются многочисленные секторы, [такие как] связь, производство, коммунальные услуги, транспорт, строительство, морское дело, правительственные и информационные технологии, а также образование», — сказала Кайзер.
«Хотя это не ново, сегодня мы хотели бы подчеркнуть тактику и масштабность того, что мы в настоящее время отслеживаем».
Важно отметить, что обнаружение США ботнета Volt Typhoon и реагирование на него потребовали использования спорного положения, позволяющего спецслужбам собирать данные.
Раздел 702 Закона о надзоре за внешней разведкой (FISA) допускает необоснованное наблюдение за широкими потоками иностранных сообщений без постановления суда. Многие критики закона, в том числе в Конгрессе, утверждают, что он предоставляет федеральным агентствам «чёрный ход» к частной информации американцев, если они взаимодействуют с иностранными лицами.
Кайзер, однако, сказала, что закон играет ключевую роль в обнаружении растущей волны китайского вредоносного ПО, нацеленного на Соединённые Штаты, и борьбе с ним.
Она рассказала об одном случае, когда спецслужбы стали свидетелями первоначального нападения на организацию в транспортном секторе с помощью информации, собранной в соответствии с FISA 702, и смогли проинформировать жертву и оказать помощь.
«FISA 702 ФБР также выявило других китайских киберпреступников, спонсируемых государством и ведущих аналогичную деятельность. И фактически мы знаем только о многих объектах критической инфраструктуры, скомпрометированных китайцами, благодаря FISA 702 ФБР».
Действие FISA 702 в настоящее время продлено на четыре месяца, в то время как некоторые члены Конгресса пытаются исключить его из бюджета страны.
Кайзер назвала закон «критически важным» для киберопераций ФБР, предположив, что такие угрозы всё ещё были бы скрыты на виду без этого закона.
«Поскольку ФБР обнаружило первоначальное нацеливание с помощью информации FISA 702, мы смогли получить информацию и передать её жертве. Это позволило им вышвырнуть китайцев из своей системы, прежде чем они смогли продвинуться дальше».
«Поскольку устройства обычно используются частными лицами или малыми предприятиями с ограниченными ИТ-ресурсами и ресурсами безопасности, вредоносная программа KV botnet вряд ли была идентифицирована и устранена владельцами устройств».
Рекомендация CISA, похоже, подтверждает растущую обеспокоенность тем, что Китай готовится к конфликту с Соединёнными Штатами или, по крайней мере, пытается удержать США от вмешательства в конфликт, который они инициируют.
С этой целью в рекомендациях говорится, что китайские хакеры «подготавливают себя», «чтобы нарушить функции» жизненно важной инфраструктуры, которая может повлиять на «континентальные и не континентальные территории Соединённых Штатов, включая Гуам», а также союзников США: Австралию, Канаду и Новую Зеландию.
Эндрю Скотт, заместитель директора CISA по операциям в Китае, сказал, что эти усилия, вероятно, были направлены на то, чтобы удержать Соединённые Штаты и их союзников от вмешательства в конфликт, инициированный Пекином, «препятствуя принятию решений, вызывая панику в обществе и вмешиваясь в развёртывание американских войск».
