Hackeri susținuți de guvernul chinez au pătruns la furnizorii americani de servicii de Internet în ultimele luni pentru a spiona utilizatorii acestora, potrivit unor surse din securitatea privată, citate de The Washington Post. Atacurile sofisticate au vizat cel puțin doi furnizori majori și mai mulți furnizori mai mici, care deservesc milioane de clienți.
Brandon Wales, fost director executiv al Cybersecurity and Infrastructure Security Agency (CISA), a afirmat că activitățile Chinei „au crescut dramatic” și că situația este acum „mult mai rea”. Acest tip de piraterie stârnește îngrijorări, deoarece se crede că țintele includ personal guvernamental și militar cu funcții sensibile pentru strategia Chinei.
Mike Horka, cercetător la Lumen Technologies și fost agent FBI, a subliniat gravitatea situației, remarcând că „Aceasta este o conectivitate privilegiată, la nivel înalt, cu clienți interesanți”. Utilizarea de către hackeri a unor vulnerabilități software nedescoperite anterior, cunoscute ca vulnerabilități zero-day, este notabilă și îngrijorătoare, oferind acces nedorit la date sensibile.
Deși nu există dovezi directe că incursiunile vizează altceva decât colectarea de informații, tehnicile folosite sunt similare cu cele ale grupului susținut de China, cunoscut sub numele de Volt Typhoon, care ar avea legături cu atacuri anterioare asupra infrastructurilor critice din SUA.
Casa Albă a solicitat clarificări de la CISA, care a confirmat exploatarea unei vulnerabilități descoperite de Lumen, dar nu a furnizat alte informații despre tehnici, victime sau cei din spatele atacurilor. Ambasada Chinei la Washington a respins acuzațiile, susținând că Volt Typhoon ar fi, de fapt, un grup criminal de tip ransomware, „Dark Power”, fără legături cu guvernul chinez.
Cercetătorii Lumen au identificat trei furnizori americani de servicii de Internet ca victime ale atacurilor de piraterie, inclusiv unul major. Într-un blog publicat recent, Lumen a dezvăluit că hackeri au folosit o vulnerabilitate zero-day într-un program al Versa Networks. Aceștia ar fi reușit să infecteze routerele și să intercepteze parolele clienților. Între timp, un raport de la Volexity susține că un alt grup de hackeri chinezi a manipulat adrese DNS ale unui furnizor, redirecționând utilizatorii și introducând backdoor pentru spionaj.
Manipularea DNS este o practică frecventă în rândul grupurilor de hackeri chinezi. Campania misterioasă detectată la începutul anului de Infoblox și atribuită Chinei a evidențiat utilizarea Marelui Firewall chinez. În cadrul conferințelor recent desfășurate Black Hat și Def Con, oficiali americani din domeniul securității cibernetice au recunoscut că Volt Typhoon rămâne activ, confirmând persistenta amenințare la adresa infrastructurii de internet din Statele Unite.