Kdysi považovaná převážně za hospodářského zloděje v kyberprostoru, Komunistická strana Číny je nyní americkou armádou vnímána jako hlavní kybernetická hrozba a „soupeř určující tempo“, schopný nejen špionáže, ale i potenciální sabotáže kriticky důležitých systémů.
Více než desítka výročních přehledů kybernetické bezpečnosti a zpráv o trendech pro rok 2025 varuje před stále sofistikovanějšími kybernetickými schopnostmi režimu, přičemž jedna ze zpráv dokonce korunovala rok 2024 na „bod zlomu“ v čínské kyberšpionáži.
Nedávné rozsáhlé útoky na kritickou infrastrukturu a telekomunikační sítě ve Spojených státech, které zůstaly neodhaleny měsíce, ne-li roky, se zdály být na hony vzdálené neotesanému, hrubému hackingu dřívějších let a přitáhly k problému novou pozornost.
Posun ze strany režimu nebyl náhlý, ale spíše přirozeným výsledkem zhruba 30 let masivních investic do kybernetického sektoru. Spojené státy rovněž prošly změnou ve vnímání čínské vlády a nyní jsou odhodlány se bránit.
Čína buduje kybersektor
Kevin Mandia byl v roce 1996 zvláštním agentem Úřadu letectva pro zvláštní vyšetřování, když poprvé zaznamenal kybernetickou kampaň sponzorovanou čínským státem, které se bez překážek podařilo proniknout na „27 nebo 37 vojenských základen“.
Tento příběh, který Mandia sdílel na mnoha veřejných přednáškách, včetně konference RSA letos v dubnu, ukazuje, že již první den kampaně čínských státních hackerů došlo k průnikům u námořní pěchoty, armády, letectva a ministerstva energetiky. Útočníci získali přístup prostřednictvím jedné univerzity na západním pobřeží, a to s využitím legitimních přihlašovacích údajů několika bývalých zahraničních studentů z Číny, jejichž účty nebyly nikdy zrušeny.
Podle Mandii to ukazovalo na systematičnost státem řízené kampaně, protože při útocích byla patrná dělba práce: jeden člověk či tým testoval přístupové údaje a další se postaral o vynesení informací z počítačového systému.
Lidová osvobozenecká armáda disponuje kybernetickými jednotkami už od 90. let, zatímco Spojené státy založily velení kybernetických sil (U. S. Cyber Command, Cybercom) teprve v roce 2009, aby sjednotily své kybernetické operace.
KS Číny již dlouho považuje kybernetický prostor za bojiště podobné zemi, vzduchu a moři, nicméně rané státem podporované kybernetické aktivity proti Spojeným státům byly spíše brány jako hospodářská špionáž, tedy činnost, která měla posílit čínské firmy krádeží obchodních tajemství.
Přesto až průlomová zpráva zveřejněná společností Mandiant v roce 2013 odhalila čínskou hackerskou skupinu jako jednotku 61398 Lidové osvobozenecké armády a přiměla americký soukromý sektor brát vážně hrozbu cizího státu u svých dveří. Zpráva, která identifikovala konkrétní budovy, odkud hackeři pracovali, a totožnosti některých členů jednotky, popsala, jak skupina od roku 2006 ukradla data od 141 firem napříč 20 průmyslovými odvětvími.
„Udělali jsme to proto, abychom opravdicky protlačili agendu ‚Čína hackuje doslova všechny a nikdo o tom neví‘,“ řekl na konferenci RSA Mandia, bývalý generální ředitel Mandiantu.
Vůdce čínského režimu Si Ťin-pching, jehož vládu charakterizuje otevřeně agresivní soupeření se Spojenými státy, vyhlásil několik let po svém nástupu v roce 2015 záměr učinit z Číny supervelmoc v kyberprostoru. Oficiální projevy a dokumenty vyzdvihovaly potřebu zajistit kybernetickou moc jako pilíř ekonomické, národní a vojenské bezpečnosti.
Téhož roku Si uvedl, že režim znovu zaměřuje pozornost na strategii „vojensko-civilní fúze“, která stírá hranice mezi technologiemi pro komerční a vojenské účely a zdůrazňuje neexistenci skutečného soukromého sektoru v komunistické Číně.
Za uplynulé desetiletí nemá investice čínského režimu do kybernetických schopností obdoby.
Jedním z příkladů je prostředí hackerských soutěží v Číně, které poskytuje praktické zkušenosti, sdílení znalostí a kariérní dráhy pro stále rostoucí odvětví hackerů.
Analýza Atlantic Council o soutěžních kláních v hackingu (hackathonech) v Číně popisuje tento ekosystém jako „nesrovnatelný velikostí a rozsahem – něco podobného čtyřem překrývajícím se univerzitním atletickým asociacím, z nichž každá má svého hlavního vládního sponzora, a to jen pro studenty kybernetické bezpečnosti, aby si mohli procvičit své dovednosti“. A to tyto soutěže nezahrnují zápolení o nejumnější zneužití softwarových zranitelností.
Režim je rovněž významným odběratelem v odvětví kybernetických ofenziv, což mu podle jiné zprávy Atlantic Council zajišťuje stálý přísun softwarových zranitelností. V tomto prostředí mají dokonce i místní pobočky režimu kybernetické jednotky.
Podle odborníka na kybernetickou bezpečnost a bývalého náměstka ministra pro politiku na ministerstvu vnitřní bezpečnosti Paula Rosenzweiga množství času a peněz, které čínský režim do kyberprostoru investoval, postavilo tuto oblast na úroveň Spojených států. Přístupy obou zemí se však zásadně liší, říká, a upozorňuje na náborové praktiky, kdy hacker zatčený v Číně může místo vězení dostat od státu zaměstnání.
„Nejlepších 10 tisíc [kyberoperativců] ve Spojených státech je lepších než nejlepších 10 tisíc v Číně. Ale pokud mají Spojené státy 100 tisíc [kyberoperativců], Čína má 1 milion,“ uvedl Rosenzweig pro Epoch Times.
Výzkumníci v oblasti kybernetické bezpečnosti uvádějí, že státem podporovanou kyberaktivitu z Číny je v poslední době obtížnější odhalit, což svědčí nejen o zdokonalení technik, ale i o zvýšeném důrazu na operační bezpečnost a správu infrastruktury v rámci těchto organizovaných kampaní.
USA mění postoj
David Stehlin, generální ředitel Telecommunications Industry Association (TIA), vedl v roce 2002 jednu firmu, když se poprvé setkal s Huawei. Čínský telekomunikační gigant tehdy ukradl část technologie této společnosti. O několik let později, když byl Stehlin generálním ředitelem veřejně obchodované společnosti, Huawei začal jeho firmu při soutěžích o zakázky po celém světě podbízet o 40 až 50 procent, prodával pod cenou a znemožňoval tak konkurenci.
Neznamená to, že by si americký veřejný nebo soukromý sektor celé ty roky neuvědomoval útoky čínských hackerů. Jen po dlouhou dobu neexistovalo žádné východisko pro napadené firmy nebo úřady. Posílení kybernetické obrany leží do velké míry na soukromém sektoru, který nese hlavní tíhu útoků. Průmysl na tuto výzvu reaguje, ale očekává od vlády, že v této otázce, která se stala záležitostí národní bezpečnosti, převezme vedení.
Zákonodárci, představitelé a odborníci po celém světě již od počátku 21. století vyjadřovali obavy o národní bezpečnost ohledně čínských telekomunikačních služeb, včetně Huawei. Ke skutečné změně ale podle Stehlina došlo až během první Trumpovy administrativy, která označila telekomunikační zařízení Huawei a ZTE za hrozbu pro národní bezpečnost.
V té době používala technologie těchto dvou firem třetina světa, další třetina používala důvěryhodné technologie a poslední třetina se ještě nerozhodla, řekl Stehlin pro Epoch Times. Trumpova administrativa se nejen rozhodla pro důvěryhodné technologie doma, ale také se zapojila do vysvětlování ostatním zemím světa, jaká rizika čínské firmy představují a zároveň „jim ukázala cestu k bezpečnější síti“, poznamenal Stehlin. V dnešním propojeném světě, kde téměř veškerý internetový provoz putuje přes podmořské kabely, mohou průniky v jiných zemích znamenat zranitelnosti i pro americké systémy.
Odborníci na obranu a veteráni z oblasti kritické infrastruktury obecně přičítají prezidentu Donaldu Trumpovi během jeho první administrativy zásluhu za to, že země začala vnímat Komunistickou stranu Číny jako kybernetického protivníka. Tím se konečně otevřela cesta pro koordinované řešení.
V roce 2018 vydal Trump první národní strategii kybernetické bezpečnosti od roku 2003, aby „učinil Ameriku kyberneticky bezpečnou“. Od té doby se však pole rizik pro Spojené státy jen rozšířilo. Jak se svět stále více propojoval, měli vytrvalí protivníci, kteří pátrali po nezabezpečených vstupních bodech, k dispozici stále více možností.
Telekomunikační sítě představují obzvlášť cenný cíl, protože jsou ohroženy jak kyberšpionáží, tak i potenciálními útoky. Už dříve byly dobře zdokumentovány případy, kdy čínské státní telekomunikační společnosti přesměrovávaly data z USA či Evropy do Číny. Jak Spojené státy vyčlenily stovky milionů dolarů z kapes daňových poplatníků na to, aby během příští dekády odstranily tyto nedůvěryhodné technologie, průmysl začal zároveň měnit svůj přístup k bezpečnosti.
TIA, která se považuje za důvěryhodnou asociaci pro telekomunikační průmysl, se pustila do přípravy měřitelných standardů pro certifikaci produktů a služeb v tomto odvětví. Díky expertize dobrovolníků z více než 400 členských firem a podpoře Spojených států i dalších vlád vydala asociace v roce 2022 první standard kybernetické a dodavatelské bezpečnosti. Aktualizace vyšla v roce 2023.
„Organizace se začaly posouvat od reaktivního přístupu k proaktivnímu,“ říká Stehlin. „Bezpečnost musí být zakotvena do této digitální transformace, která probíhá už nějakou dobu a bude pokračovat i nadále – a to počínaje hlubokým porozuměním tomu, jak firmy vyrábějí produkty, jaké používají subsystémy a jaké čipy.“
Pojmy jako „nedůvěryhodná architektura“, „hloubková obrana“ a „bezpečnost už v návrhu“ odrážejí tento posun v přístupu. Příklady dobré praxe stanovují, že firma musí zabudovat bezpečnost už od začátku vývoje produktu či služby a být připravena na případný průnik. Tento přístup zahrnuje více vrstev zabezpečení pro omezení dopadů útoku a využívá nepřetržité monitorování i aktivní vyhledávání hrozeb uvnitř systému.
„Dokážete dohledat software až k jeho zdroji?“ ptá se Stehlin. „Jak rychle vyřešíte problém, když nastane? Jak víte, že čipy, které používáte, nejsou padělky? Jste jako firma důvěryhodným dodavatelem? Neházíme to jen tak do vzduchu a neříkáme ‚důvěryhodný, nebo nedůvěryhodný?‘ Ne, jsou to měřitelné prvky, které používáme k hodnocení důvěryhodnosti,“ vysvětlil.
Tento defenzivní postoj ale podle odborníků ukazuje, že Čína dostala Spojené státy do defenzivy. S dostatkem času a prostředků, jimiž hackeři čínského režimu disponují, lze proniknout do jakéhokoli systému. Ve chvíli, kdy americké sítě začaly přecházet na novou bezpečnostní strategii, Peking tvrdě zasáhl.
Série „tajfunů“
Deset let po zprávě společnosti Mandiant odhalil Microsoft „skrytou a cílenou škodlivou“ kampaň čínských státních hackerů zaměřenou na americkou kritickou infrastrukturu, kterou pojmenoval „Volt Typhoon“.
Ve zprávě z května 2023 Microsoft popsal, že Volt Typhoon je aktivní od poloviny roku 2021 a zasáhl organizace v sektorech komunikací, výroby, energetiky, dopravy, stavebnictví, námořnictva, vládních institucí, IT i školství. Upozornil na důraz kampaně na utajení, s využíváním technik napodobujících legitimní aktivitu, aby se útočníci vyhnuli odhalení co nejdéle.
Microsoft s mírnou jistotou vyhodnotil, že Volt Typhoon se snažil získat schopnosti k narušení kritické infrastruktury v případě konfliktu. Zveřejnění informací mělo upozornit na zvýšenou potřebu ochrany, která se s rostoucím povědomím dostavila. O rok později ředitel FBI Christopher Wray zákonodárcům sdělil, že Volt Typhoon se předem připravoval k narušení.
Nedostatek paliva způsobený ransomware útokem na Colonial Pipeline v roce 2021 už národ varoval, co může znamenat kybernetické narušení kritické infrastruktury.
Skrytý přístup Volt Typhoonu a jeho potenciální cíl narušit kritickou infrastrukturu se výrazně lišily od toho, co dříve předvedli čínští hackeři podporovaní KS Číny. Byla to však jen jedna z nových hackerských kampaní.
Salt Typhoon se zaměřil na telekomunikační sítě a podařilo se jim získat vládní komunikaci. Flax Typhoon upozornil svět na riziko spotřební elektroniky vyráběné v Číně, když bylo asi 200 tisíc zařízení včetně kamer a Wi-Fi routerů zneužito k vytvoření sítě neboli „botnetu“, s jejíž pomocí čínští kyberzločinci prováděli špionážní operace.
Průnik Silk Typhoonu do serverů Microsoft Exchange byl natolik rozsáhlý, že přiměl Spojené státy, Velkou Británii a Evropskou unii vydat jejich první společné prohlášení odsuzující kyberaktivity čínského režimu. Ministerstvo spravedlnosti USA požádalo soud o povolení, aby FBI mohla odstranit malware z desítek tisíc civilních serverů. V červenci pak Microsoft pojmenoval další dvě kampaně čínského režimu, které se zaměřily na krádež dat ze serverů SharePoint.
Rosenzweig uvedl, že je „docela zřejmé“, že čínský režim hledá něco, čím by se pojistil proti možnému postupu Spojených států. Jeff Hoffmann, hlavní kybernetický expert Gold Institute for International Strategy, řekl pro Epoch Times, že s těmito novými kampaněmi je Čína „skutečně aktivní, pokud jde o zkoumání možných zranitelností a ukázání své přítomnosti“. „V čem se to liší od jaderných zbraní, které mají ukázat, že disponují odstrašující schopností?“ položil řečnickou otázku.
Volání po odvetě
Lidé z oboru si začali klást otázku, zda Spojené státy odpoví protiútokem. „Nemyslím si, že si Američané uvědomují … do jaké míry byly naše telekomunikační systémy hluboce kompromitovány,“ pronesl senátor Josh Hawley při kongresovém slyšení v červnu. „Co uděláme pro to, abychom je odtamtud dostali a ochránili americký lid, z kterého se teď stal snadný terč“.
Na stejném slyšení senátorka Elissa Slotkinová uvedla: „Chci, aby se provedly útočné kyberoperace, chci jim způsobit bolest – Rusům i Číňanům, kteří tyto útoky zahajují.“ Podle Hoffmanna už sankce nejsou odstrašující a je nezbytné, aby Spojené státy ukázaly, že mají připravenou odpověď.
„Pokud Čína přejde od příprav k tomu, co Írán udělal v Izraeli, že skutečně zasáhne průmyslové řídicí systémy, například v úpravně vody, pokud to dosáhne narušující úrovně, jaká bude naše odpověď? Potřebujeme tuto politiku vypracovat,“ uvedl.
Hoffmann uvedl, že považuje pravděpodobné setkání Trumpa se Si Ťin-pchingem za klíčovou příležitost pro současnou americkou vládu, aby jasně vyjádřila svůj postoj. Trump prohlásil, že se s čínským prezidentem setká pravděpodobně ještě letos.
Noví představitelé pro kybernetiku v Trumpově administrativě se rovněž zavázali dát protivníkům najevo, že kybernetická aktivita proti Spojeným státům je nepřijatelná. Alexei Bulazel, ředitel pro kybernetiku v Radě národní bezpečnosti Bílého domu, řekl v květnu na konferenci RSA, že odstrašování, jak ho známe ze studené války, v kyberprostoru nefunguje, nicméně existují způsoby, jak oslabit schopnosti protivníka a učinit pokusy o průnik nákladné.
„Nereagovat je podle mě samo o sobě eskalací,“ říká Bulazel. „Pokud neustále necháte protivníka, aby po vás šlapal, hackne vás a vy nic neuděláte, hackne vás znovu a tím se nastaví norma. Musíme najít způsob, jak dát jasně najevo, že to není přijatelné.“
Dlouholetý agent FBI Brett Leatherman, který byl v červnu povýšen do čela oddělení kybernetické kriminality, v prohlášení uvedl, že jeho úkolem je učinit škodlivou kyberaktivitu proti Spojeným státům „neudržitelnou“.
Nastupující národní ředitel pro kybernetiku Sean Cairncross při svém slyšení v Senátu řekl, že dilema, kterému Spojené státy v kyberprostoru čelí, je nutné změnit. „Naši nepřátelé nevnímají žádné následky takového chování, a proto nám nyní a už po dlouhou dobu vnucují strategická dilemata,“ říká.
„Je načase, abychom tato dilemata vnutili my jim. Těším se na to, že udělám vše, co je v mých silách, aby naši protivníci, naši nepřátelé a zločinci působící v této oblasti věděli, že toto počínání jim jen tak neprojde,“ doplnil.
– ete –
