Spojené státy a jejich globální partneři ve čtvrtek vydali varování před hrozbou ze strany hackerů napojených na Čínu, kteří využívají online sítě kompromitovaných zařízení k útokům na vlády a organizace.
„Tyto sítě jsou tvořeny především kompromitovanými routery pro malé kanceláře a domácnosti (SOHO), stejně jako … chytrými zařízeními,“ uvádí společné upozornění ze dne 23. dubna, které zveřejnila Cybersecurity and Infrastructure Security Agency.
Upozornění CISA bylo vydáno společně s britským Národním centrem kybernetické bezpečnosti (NCSC-UK) a agenturami z Austrálie, Kanady, Německa, Japonska, Nizozemska, Nového Zélandu, Španělska a Švédska.
„NCSC se domnívá, že většina aktérů hrozeb napojených na Čínu tyto sítě využívá, že bylo vytvořeno více skrytých sítí, které jsou neustále aktualizovány, a že jednu skrytou síť může využívat více aktérů,“ uvádí varování.
Skryté sítě představují „nízkonákladový, nízkorizikový a popiratelný způsob“, jak se připojovat přes internet a zároveň maskovat původ a přičitatelnost škodlivé činnosti. Čínské hackerské skupiny podporované státem takové sítě využívaly s pomocí kompromitované infrastruktury proti různým cílům.
Například aktér hrozeb podporovaný Čínou známý jako Flax Typhoon využil skrytou síť k provádění kybernetické špionáže. Další čínská hackerská skupina, Volt Typhoon, ji využila k předběžnému rozmístění útočných schopností proti kritické národní infrastruktuře, což hackerům umožnilo zaútočit, kdykoli chtěli.
Kompromitovaná síť zařízení označovaná jako Raptor Train, která měla v roce 2024 více než 200 000 zařízení po celém světě, byla podle varování spravována čínskou společností. Federální úřad pro vyšetřování (FBI) dospěl k závěru, že tato společnost je odpovědná za hackerské aktivity spojené se skupinou Flax Typhoon.
Varování přichází v době, kdy americká administrativa prezidenta Donalda Trumpa zpřísňuje opatření proti potenciálním bezpečnostním hrozbám pro národní bezpečnost, které představují čínská zařízení.
Minulý měsíc nezávislý federální úřad USA (FCC) zakázal dovoz všech komerčních routerů vyrobených v zahraničí, což je krok zaměřený na značky napojené na Čínu s bezpečnostními riziky. Rozhodnutí následovalo po zprávě vládního orgánu, podle níž dominance zahraničních routerů na americkém trhu vytváří „ekonomická, bezpečnostní a kybernetická rizika“.
Expert na kybernetickou bezpečnost Robert Joyce uvedl minulý měsíc před Kongresem, že čínská společnost TP-Link ovládla více než 60 procent maloobchodního trhu s routery ve Spojených státech. Společnost toto tvrzení odmítla a uvedla, že její podíl činí přibližně 37 procent.
Ricca Silverio, senior partner ve společnosti TP-Link s kanceláří v Kalifornii, sdělil Epoch Times, že „prakticky všechny routery se vyrábějí mimo Spojené státy, včetně těch od firem se sídlem v USA, jako je TP-Link, která své výrobky vyrábí ve Vietnamu“.
Zranitelná zařízení
V upozornění CISA agentury sdělily, že ačkoli skryté sítě většinou zahrnují kompromitované routery SOHO, hackeři mohou využít jakékoli zranitelné zařízení v infrastruktuře organizace, které lze zneužít ve velkém měřítku.
Síť Raptor Train tvořily tisíce běžných routerů a zařízení připojených k internetu, například webové kamery, rekordéry, firewally nebo síťová úložiště. Botnet KV skupiny Volt Typhoon využíval hlavně zranitelné domácí a firemní routery, mimo jiné od značek Cisco a Netgear.
Dne 8. dubna FCC oznámil, že chce zakázat všem čínským laboratořím testování elektronických zařízení, jako jsou kamery a chytré telefony, určených pro použití ve Spojených státech. Podle agentury se významná část veškeré elektroniky v USA testuje v čínských laboratořích.
Dne 9. dubna FCC vydal prohlášení, které upozorňuje na bezpečnostní obavy týkající se telekomunikačních společností napojených na Čínu, které provozují datová centra ve Spojených státech.
Výroční zpráva americké zpravodajské komunity o hodnocení hrozeb pro rok 2026 varovala, že Čína je „nejaktivnější a nejvytrvalejší kybernetickou hrozbou pro sítě vlády USA, soukromého sektoru a kritické infrastruktury“.
Podle zprávy mají Čína, stejně jako aktéři hrozeb z Ruska, Íránu, Severní Koreje a další skupiny využívající ransomware, tedy vyděračský škodlivý software blokující data, „schopnost předem rozmístit nebo provádět narušující a destruktivní útoky proti kritické infrastruktuře USA a dalším cílům. Nadále investují značné prostředky do operací zaměřených na narušení amerických systémů a klíčových globálních IT zdrojů.“
Na přípravě této zprávy se podílela Jill McLaughlinová.
–ete–
