هاكرز Volt Typhoon المدعومين من الصين يتربصون داخل البنية التحتية الحيوية للولايات المتحدة لمدة “خمس سنوات على الأقل”

حذر تحالف من وكالات المخابرات الأمريكية يوم الأربعاء من أن المتسللين المدعومين من الصين حافظوا على إمكانية الوصول إلى البنية التحتية الحيوية الأمريكية لمدة “خمس سنوات على الأقل” بهدف طويل المدى يتمثل في شن هجمات إلكترونية “مدمرة”.

قامت مجموعة Volt Typhoon، وهي مجموعة من المتسللين التي ترعاها الدولة ومقرها الصين، بالتسلل إلى شبكات الطيران والسكك الحديدية والنقل الجماعي والطرق السريعة والبحرية وخطوط الأنابيب والمياه والصرف الصحي – ولم تتم تسمية أي منها – في محاولة لاختراقها. قالت وكالة الأمن القومي ووكالة الأمن القومي الأمريكية ومكتب التحقيقات الفيدرالي في تقرير مشترك نُشر يوم الأربعاء، إن وكالة الأمن القومي ووكالة الأمن القومي الأمريكية ومكتب التحقيقات الفيدرالي يستعدون لمواجهة هجمات إلكترونية مدمرة.

وقالت الوكالات إن هذا يمثل “تحولًا استراتيجيًا” في عمليات التجسس السيبراني التقليدية أو عمليات جمع المعلومات الاستخبارية التي يقوم بها المتسللون المدعومين من الصين، حيث يستعدون بدلاً من ذلك لتعطيل التكنولوجيا التشغيلية في حالة نشوب صراع أو أزمة كبيرة.

ويأتي إصدار التحذير، الذي شاركت في التوقيع عليه وكالات الأمن السيبراني في المملكة المتحدة وأستراليا وكندا ونيوزيلندا، بعد أسبوع من تحذير مماثل من مدير مكتب التحقيقات الفيدرالي كريستوفر راي. وفي حديثه خلال جلسة استماع للجنة بمجلس النواب الأمريكي حول التهديدات السيبرانية التي تشكلها الصين، وصف راي فولت تايفون بأنه “التهديد المحدد لجيلنا” وقال إن هدف المجموعة هو “تعطيل قدرة جيشنا على التعبئة” في المراحل الأولى من أي هجوم. الصراع المتوقع بشأن تايوان، التي تدعي الصين أنها أراضيها.

وفقًا للمشورة الفنية الصادرة يوم الأربعاء، يستغل Volt Typhoon نقاط الضعف في أجهزة التوجيه وجدران الحماية والشبكات الافتراضية الخاصة (VPN) للوصول الأولي إلى البنية التحتية الحيوية في جميع أنحاء البلاد. عادةً ما يستفيد المتسللون المدعومين من الصين من بيانات اعتماد المسؤول المسروقة للحفاظ على الوصول إلى هذه الأنظمة، وفقًا للتقرير الاستشاري، وفي بعض الحالات، حافظوا على الوصول لمدة “خمس سنوات على الأقل”.

وحذر التحذير من أن هذا الوصول مكن المتسللين المدعومين من الدولة من تنفيذ اضطرابات محتملة مثل “التلاعب بأنظمة التدفئة والتهوية وتكييف الهواء (HVAC) في غرف الخوادم أو تعطيل الضوابط الحيوية للطاقة والمياه، مما يؤدي إلى فشل كبير في البنية التحتية”. في بعض الحالات، كان لدى قراصنة Volt Typhoon القدرة على الوصول إلى أنظمة مراقبة الكاميرات في مرافق البنية التحتية الحيوية – على الرغم من أنه ليس من الواضح ما إذا كانوا قد فعلوا ذلك.

استخدم Volt Typhoon أيضًا تقنيات العيش خارج الأرض، حيث يستخدم المهاجمون الأدوات والميزات المشروعة الموجودة بالفعل في النظام المستهدف، للحفاظ على استمرارية غير مكتشفة على المدى الطويل. يقوم المتسللون أيضًا بإجراء “استطلاع واسع النطاق قبل الاختراق” في محاولة لتجنب اكتشافهم. وجاء في التحذير: “على سبيل المثال، في بعض الحالات، ربما امتنع ممثلو Volt Typhoon عن استخدام بيانات الاعتماد المخترقة خارج ساعات العمل العادية لتجنب إثارة تنبيهات أمنية بشأن أنشطة الحساب غير الطبيعية”.

وفي اتصال هاتفي يوم الأربعاء، حذر كبار المسؤولين من وكالات الاستخبارات الأمريكية من أن فولت تايفون “ليست الجهات الفاعلة السيبرانية الوحيدة المدعومة من الدولة الصينية التي تنفذ هذا النوع من النشاط”، لكنهم لم يذكروا أسماء المجموعات الأخرى التي كانوا يتتبعونها.

في الأسبوع الماضي، أعلن مكتب التحقيقات الفيدرالي ووزارة العدل الأمريكية أنهما قاما بتعطيل شبكة “KV Botnet” التي تديرها شركة Volt Typhoon والتي أدت إلى اختراق مئات من أجهزة التوجيه الموجودة في الولايات المتحدة للشركات الصغيرة والمكاتب المنزلية. وقال مكتب التحقيقات الفيدرالي إنه تمكن من إزالة البرامج الضارة من أجهزة التوجيه المختطفة وقطع اتصالها بالمتسللين الذين ترعاهم الدولة الصينية.

وفقًا لتقرير مايو 2023 الذي نشرته Microsoft، فإن Volt Typhoon يستهدف ويخترق البنية التحتية الحيوية للولايات المتحدة منذ منتصف عام 2021 على الأقل.