Chińscy hakerzy od lat są obecni w systemach informatycznych firm w branżach takich jak telekomunikacja, dostarczanie internetu, hotelarstwo i transport, żeby mieć dostęp do wiadomości i lokalizacji osób na całym świecie. Tak wynika ze wspólnego raportu opublikowanego 27 sierpnia przez szereg agencji wywiadowczych z 13 krajów - m.in. USA, Kanady, Wielkiej Brytanii, Niemiec i Polski (Agencja Wywiadu i Służba Kontrwywiadu Wojskowego).
Agencje w dokumencie wskazały na zagrożenie stwarzane także i teraz przez chińskich hakerów z grupy nazwanej Salt Typhoon, czyli "Słony tajfun". Jak czytamy, grupa działająca na rzecz chińskich służb specjalnych przeprowadzała przez lata to, co teraz eksperci uznali za najpoważniejszy cyberatak, jaki został odkryty do tej pory.
Ogromna kradzież. Dotkniętych ponad 80 krajów
Oświadczenie agencji wywiadowczych i dołączony do niego raport ostrzegały, że atak, o którym doniesienia pojawiły się już rok temu, okazał się być znacznie szerszy, niż przypuszczano.
Celem działań Chińczyków miało być wykradzenie informacji z systemów rządowych, sieci telekomunikacyjnych, transportowych, hoteli czy infrastruktury wojskowej na potrzeby tworzenia globalnego systemu szpiegowskiego.
Wykradzione dane mogły pozwolić chińskim służbom m.in. na śledzenie polityków, szpiegów, czy aktywistów. Wśród celów były m.in. telefony Donalda Trumpa i wiceprezydenta J.D. Vance'a, a także polityków demokratów. Według senatora Marka Warnera, wiceszefa senackiej komisji wywiadu, chińskie służby mogły słuchać rozmów telefonicznych i odczytywać niezaszyfrowane SMS-y.
Kampania przeprowadzona przez Salt Typhoon dotknęła ponad 80 krajów. Ilość wykradzionych danych jest ogromna. Eksperci szacują, że są to między innymi informacje dotyczące w zasadzie wszystkich Amerykanów.
- Nie mogę sobie wyobrazić, żeby którykolwiek Amerykanin został oszczędzony, biorąc pod uwagę zakres kampanii - skomentowała wyniki badania Cynthia Kaiser, była wysoką rangą urzędniczka w departamencie cyfrowym FBI.
Nie jest jasne, na ile kampania miała na celu zebranie informacji o zwykłych obywatelach, a na ile te informacje zostały zebrane przypadkiem. Jak przekazała Kaiser, zakres kampanii jest szerszy niż w przypadku wcześniejszych znanych chińskich ataków hakerskich.
- Pod wieloma względami Salt Typhoon otwiera nowy rozdział - oceniła Jennifer Ewbank, była wysoka rangą kierowniczka w CIA. Zaznaczyła, że dekadę temu zachodni sojusznicy obawiali się kradzieży własności intelektualnej przez Chiny, jak również informacji osobistych i danych rządowych - czyli akcji, w których hakerzy korzystają z mniej wyszukanych metod.
- Dzisiaj widzimy obliczone na lata, wspierane przez państwo przedsięwzięcia, głęboko zakorzenione w infrastrukturze ponad 80 krajów, charakteryzujące się wysokim poziomem umiejętności technicznych, cierpliwością i wytrwałością - wskazała Ewbank.
Salt Typhoon działa co najmniej cztery lata
Jak działali hakerzy? Wykorzystywali znane błędy w oprogramowaniu urządzeń sieciowych, aby uzyskać dostęp do sieci komputerowych firm głównie z branż takich jak telekomunikacja, w tym dostarczanie internetu, hotelarstwo czy transport. Uzyskane przez nich informacje mogły zostać wykorzystane do przechwytywania niezaszyfrowanej komunikacji oraz do lokalizacji osób.
Autorzy raportu twierdzą, że grupa Salt Typhoon działa co najmniej od 2021 roku na zlecenie chińskich służb specjalnych. Wskazują na trzy firmy, które dostarczają usługi i produkty dla Chińskiej Armii Ludowo-Wyzwoleńczej oraz Ministerstwa Bezpieczeństwa Państwowego. Są to: Sichuan Juxinhe Network Technology Co., Ltd., Beijing Huanyu Tianqiong Information Technology Co., Ltd. oraz Sichuan Zhixin Ruijie Network Technology Co., Ltd.
Raport zawiera też instrukcje pozwalające sprawdzić, czy dana sieć ma ślady włamania, a także porady dotyczące tego, jak się zabezpieczyć przed aktywnością Salt Typhoon. Jest w nim także zawarta lista adresów IP powiązanych z aktywnością tej grupy.
Według autorów raportu, dotychczas nie zaobserwowano, żeby hakerzy z grupy Salt Typhoon wykorzystali wcześniej nieznaną metodę ataku. Dlatego podkreślają, że ważne jest regularne monitorowanie aktywności w sieci, wyłączenie nieużywanych portów i protokołów sieciowych oraz aktualizacja oprogramowania.
Autorka/Autor: fil/adso
Źródło: "New York Times", Reuters, PAP
Źródło zdjęcia głównego: Shutterstock