تعرف على قراصنة “تايفون” الصينيين الذين يستعدون للحرب
من بين مخاطر الأمن السيبراني التي تواجه الولايات المتحدة اليوم، هناك القليل منها يلوح في الأفق أكبر من القدرات التخريبية المحتملة التي يشكلها القراصنة المدعومين من الصين، والتي وصفها كبار المسؤولين الأميركيين بأنها “تهديد محدد للعصر”.
وفي الأشهر الأخيرة، قال مسؤولو المخابرات الأمريكية إن المتسللين المدعومين من الحكومة الصينية كانوا يحفرون عميقًا في شبكات البنية التحتية الحيوية الأمريكية، بما في ذلك مقدمي المياه والطاقة والنقل. ويقول المسؤولون إن الهدف هو إرساء الأساس لهجمات إلكترونية مدمرة محتملة في حالة نشوب صراع مستقبلي بين الصين والولايات المتحدة، مثل الغزو الصيني المحتمل لتايوان.
وقال مدير مكتب التحقيقات الفيدرالي كريستوفر راي للمشرعين في وقت سابق من هذا العام: “إن المتسللين الصينيين يتمركزون في البنية التحتية الأمريكية استعدادًا لإحداث الفوضى والتسبب في ضرر حقيقي للمواطنين والمجتمعات الأمريكية، إذا قررت الصين أن الوقت قد حان للضرب”.
واتخذت الحكومة الأمريكية وحلفاؤها منذ ذلك الحين إجراءات ضد عائلة “تايفون” التابعة لمجموعات القرصنة الصينية، ونشرت تفاصيل جديدة حول التهديدات التي تشكلها.
في يناير/كانون الثاني، قامت الولايات المتحدة بإحباط مجموعة يطلق عليها اسم “فولت تايفون”، وهي مجموعة من قراصنة الحكومة الصينية المكلفين بتمهيد الطريق لهجمات إلكترونية مدمرة. وفي وقت لاحق من شهر سبتمبر، اختطف الفيدراليون شبكة الروبوتات التي تديرها مجموعة قرصنة صينية أخرى تسمى “Flax Typhoon”، والتي تتنكر في هيئة شركة خاصة في بكين وكان دورها هو المساعدة في إخفاء أنشطة قراصنة الحكومة الصينية. ومنذ ذلك الحين، ظهرت مجموعة قرصنة جديدة مدعومة من الصين تسمى “سولت تايفون”، قادرة على جمع معلومات استخباراتية عن الأميركيين ــ والأهداف المحتملة للمراقبة الأميركية ــ من خلال اختراق أنظمة التنصت على الهواتف ومزودي خدمة الإنترنت في الولايات المتحدة.
إليكم ما نعرفه حتى الآن عن مجموعات القرصنة الصينية التي تستعد للحرب.
فولت تايفون
يمثل Volt Typhoon سلالة جديدة من مجموعات القرصنة المدعومة من الصين؛ لم تعد تهدف فقط إلى سرقة أسرار أمريكية حساسة، بل الاستعداد لتعطيل “قدرة التعبئة” لدى الجيش الأمريكي، وفقًا لمدير مكتب التحقيقات الفيدرالي.
حددت Microsoft لأول مرة Volt Typhoon في مايو 2023، ووجدت أن المتسللين استهدفوا معدات الشبكة وقاموا باختراقها، مثل أجهزة التوجيه وجدران الحماية والشبكات الافتراضية الخاصة، منذ منتصف عام 2021 كجزء من جهد مستمر ومتضافر للتسلل بشكل أعمق إلى البنية التحتية الحيوية للولايات المتحدة. في الواقع، من المحتمل أن المتسللين كانوا يعملون لفترة أطول بكثير؛ يحتمل أن تصل إلى خمس سنوات.
قامت شركة Volt Typhoon باختراق آلاف الأجهزة المتصلة بالإنترنت في الأشهر التي أعقبت تقرير Microsoft، مستغلة نقاط الضعف في الأجهزة المتصلة بالإنترنت والتي كانت تعتبر “منتهية الصلاحية” وبالتالي لن تتلقى تحديثات أمنية بعد الآن. على هذا النحو، تمكنت مجموعة القرصنة لاحقًا من اختراق بيئات تكنولوجيا المعلومات في العديد من قطاعات البنية التحتية الحيوية، بما في ذلك الطيران والمياه والطاقة والنقل، مما أدى إلى وضع نفسها مسبقًا لتفعيل الهجمات الإلكترونية التخريبية المستقبلية.
وقال جون هولتكويست، رئيس العمليات: “هذا الممثل لا يقوم بجمع المعلومات الاستخباراتية بهدوء وسرقة الأسرار التي كانت هي القاعدة في الولايات المتحدة، بل يقوم بالتحقيق في البنية التحتية الحيوية الحساسة حتى يتمكنوا من تعطيل الخدمات الرئيسية إذا ومتى صدر الأمر”. محلل في شركة الأمن Mandiant.
قالت الحكومة الأمريكية في يناير إنها نجحت في تعطيل شبكة الروبوتات، التي تستخدمها شركة Volt Typhoon، والتي تتكون من الآلاف من أجهزة توجيه الشبكات المنزلية والمكاتب الصغيرة التي تم اختطافها في الولايات المتحدة، والتي استخدمتها مجموعة القرصنة الصينية لإخفاء نشاطها الخبيث الذي يهدف إلى استهداف أجهزة التوجيه الحيوية في الولايات المتحدة. بنية تحتية. وقال مكتب التحقيقات الفيدرالي إنه تمكن من إزالة البرامج الضارة من أجهزة التوجيه المختطفة، مما أدى إلى قطع اتصال مجموعة القرصنة الصينية بشبكة الروبوتات.
إعصار الكتان
Flax Typhoon، التي تم الكشف عنها لأول مرة في تقرير صدر في أغسطس 2023 من Microsoft، هي مجموعة قرصنة أخرى مدعومة من الصين ويقول المسؤولون إنها تعمل تحت ستار شركة أمن سيبراني متداولة علنًا ومقرها بكين. وقد اعترفت الشركة، Integrity Technology Group، علنًا بصلاتها بالحكومة الصينية، وفقًا لمسؤولين أمريكيين.
وفي سبتمبر/أيلول، قالت الحكومة الأمريكية إنها سيطرت على شبكة روبوت أخرى، تستخدمها شركة Flax Typhoon، والتي استفادت من نسخة مخصصة من برنامج Mirai الخبيث سيئ السمعة، والمكون من مئات الآلاف من الأجهزة المتصلة بالإنترنت.
وقال مسؤولون أمريكيون في ذلك الوقت إن شبكة الروبوتات التي تسيطر عليها شركة Flax Typhoon تم استخدامها “للقيام بأنشطة إلكترونية ضارة متخفية في شكل حركة مرور روتينية على الإنترنت من أجهزة المستهلك المصابة”. وقال ممثلو الادعاء إن شبكة الروبوتات التي تديرها شركة Flax Typhoon سمحت للمتسللين الآخرين المدعومين من الحكومة الصينية “باختراق شبكات في الولايات المتحدة وحول العالم لسرقة المعلومات وتعريض بنيتنا التحتية للخطر”.
وفقًا لملف تعريف Microsoft للمجموعة المدعومة من الحكومة، فإن Flax Typhoon نشط منذ منتصف عام 2021، ويستهدف في الغالب “الوكالات الحكومية ومؤسسات التعليم والتصنيع الحيوي وتكنولوجيا المعلومات في تايوان”. وقالت وزارة العدل إنها أيدت النتائج التي توصلت إليها مايكروسوفت وأن طائرة فلاكس تايفون “هاجمت أيضًا العديد من الشركات الأمريكية والأجنبية”.
إعصار الملح
أحدث مجموعة – وربما الأكثر خطورة – في الجيش السيبراني المدعوم من الحكومة الصينية التي تم الكشف عنها في الأشهر الأخيرة هي سولت تايفون.
تصدرت Salt Typhoon عناوين الأخبار في أكتوبر بسبب عملية أكثر تعقيدًا. وكما ذكرت صحيفة وول ستريت جورنال لأول مرة، يُعتقد أن مجموعة القرصنة المرتبطة بالصين قد اخترقت أنظمة التنصت على المكالمات الهاتفية للعديد من مزودي خدمات الاتصالات والإنترنت الأمريكيين، بما في ذلك AT&T وLumen (المعروفة سابقًا باسم CenturyLink) وVerizon.
وفقًا لأحد التقارير، ربما تمكنت شركة Salt Typhoon من الوصول إلى هذه المؤسسات باستخدام أجهزة توجيه Cisco المخترقة. ويقال إن الحكومة الأمريكية في المراحل الأولى من تحقيقاتها.
وبينما لا يزال حجم التنازلات التي ارتكبها مزود خدمة الإنترنت غير معروف، قالت الصحيفة، نقلاً عن مصادر في الأمن القومي، إن الاختراق قد يكون “كارثيًا محتملاً”. من خلال اختراق الأنظمة التي تستخدمها وكالات إنفاذ القانون لجمع بيانات العملاء بترخيص من المحكمة، من المحتمل أن يكون Salt Typhoon قد تمكن من الوصول إلى البيانات والأنظمة التي تضم الكثير من طلبات الحكومة الأمريكية – بما في ذلك الهويات المحتملة للأهداف الصينية للمراقبة الأمريكية.
لم يُعرف بعد متى حدث الاختراق، لكن وول ستريت جورنال تفيد بأن المتسللين ربما تمكنوا من الوصول إلى أنظمة التنصت الخاصة بمزودي الإنترنت “لأشهر أو أكثر”.
