Kiinan valtion hakkerien väitetään tunkeutuneen viime kuukausien aikana amerikkalaisten internet-palveluntarjoajien järjestelmiin edistääkseen maan tiedustelutoimintaa.
Poikkeuksellisen aggressiivisia ja monimutkaisia kyberhyökkäyksiä on tehty ainakin kahta yhtiötä vastaan, joilla on miljoonia asiakkaita Yhdysvalloissa. Kohteena ovat myös olleet pienemmät internet-palveluntarjoajat. Asiasta kertova Washington Post -lehti on haastatellut alan lähteitä, jotka ovat tietoisia Yhdysvaltain meneillään olevista vastatoimista.
– Kiinalle tämä on nykyään tavanomaista, mutta muutos aiempaan on silti dramaattinen. Tilanne on huomattavasti pahempi, kyberturvallisuuden CISA-viraston aiempi johtaja Brandon Wales toteaa.
Huolena on, että hakkerit pääsevät käsiksi peitetehtävissä toimivien valtion ja asevoimien henkilöiden tietoihin. Kohteena voivat monet muut Kiinan kannalta strategisesti tärkeät tahot.
Liittovaltion poliisi FBI:n entinen agentti Mike Horka huomauttaa hakkerien hyödyntäneen uusia tietoturva-aukkoja, joita olisi voitu säästää myöhempiin operaatioihin. Nykyistä kyberiskua pidettiin näin ollen tarpeeksi merkittävänä niiden paljastamiseen.
Toistaiseksi ei ole näyttöä siitä, että hakkerit olisivat tehneet muuta kuin keränneet tiedustelutietoja. Osa tekniikoista ja työkaluista oli samoja kuin kiinalaisella Volt Typhoon -ryhmällä. Se yritti aiemmin päästä käsiksi Yhdysvaltain satamien laitteisiin ja muuhun infrastruktuuriin. Tavoitteena oli aiheuttaa kaaosta ja häiritä amerikkalaisjoukkojen kuljetuksia mahdollisessa Taiwania koskevassa sodassa.
Kiinan Washington-suurlähetystö kiistää väitteet.
– Volt Typhoon on ransomware-toimintaa harjoittava kyberrikollisten ryhmä, joka kutsuu itseään ”pimeäksi voimaksi”. Heidän takanaan ei ole mikään valtio tai alue, tiedottaja Liu Pengyu sanoo.
Suurlähetystön tiedottaja syyttää Yhdysvaltain tiedusteluyhteisöä ja kyberalan yhtiöitä ”salaisesta yhteistyöstä”, jonka yhteydessä on koostettu ”perättömiä tietoja” Kiinan valtion tuesta kyberhyökkäyksille ja tietomurroille.
Lumen Technologies -yhtiön mukaan hakkerit käyttivät aiemmin tuntematonta haavoittuvuutta Versa Networksin verkko-ohjelmistossa. Versa tiedotti asiakkailleen viime viikon lopulla kriittisestä haavoittuvuudesta. Lumenin mukaan kolmen amerikkalaisen internet-palveluntarjoajan lisäksi yksi amerikkalaisyhtiö ja yksi yhtiö Intiassa joutui kyberiskujen kohteeksi.
Lumen sanoi maanantaina julkaisseensa haavoittuvuuden korjaavan päivityksen.
Tietoturvayhtiö Volexity julkaisi aiemmin elokuussa raportin, jossa toisen Kiinan valtion tukeman hakkeriryhmän sanottiin hyödyntäneen menetelmää DNS-osoitteen muuttamiseksi. Tarkoituksena oli asentaa kohteille takaportteja vakoilun mahdollistamiseksi.