تعرف على قراصنة “تايفون” الصينيين الذين يستعدون للحرب

من بين مخاطر الأمن السيبراني التي تواجه الولايات المتحدة اليوم، هناك قِلة منها تلوح في الأفق بشكل أكبر من القدرات التخريبية المحتملة التي يشكلها القراصنة المدعومين من الصين، والتي وصفها كبار مسؤولي الأمن القومي الأميركيين بأنها “تهديد محدد للعصر”.

وتقول الولايات المتحدة إن المتسللين المدعومين من الحكومة الصينية – في بعض الحالات لسنوات – كانوا يحفرون عميقًا في شبكات البنية التحتية الحيوية الأمريكية، بما في ذلك مقدمي المياه والطاقة والنقل. ويقول المسؤولون إن الهدف هو إرساء الأساس لهجمات إلكترونية مدمرة محتملة في حالة نشوب صراع مستقبلي بين الصين والولايات المتحدة، مثل الغزو الصيني المحتمل لتايوان.

وقال كريستوفر راي، مدير مكتب التحقيقات الفيدرالي المنتهية ولايته آنذاك، للمشرعين العام الماضي: “إن المتسللين الصينيين يتمركزون في البنية التحتية الأمريكية استعدادًا لإحداث الفوضى والتسبب في ضرر حقيقي للمواطنين والمجتمعات الأمريكية، إذا قررت الصين أن الوقت قد حان للضرب”.

واتخذت الحكومة الأمريكية وحلفاؤها منذ ذلك الحين إجراءات ضد بعض مجموعات القرصنة الصينية من عائلة “تايفون”، ونشرت تفاصيل جديدة حول التهديدات التي تشكلها هذه المجموعات.

في يناير/كانون الثاني 2024، عطلت الولايات المتحدة “فولت تايفون”، وهي مجموعة من قراصنة الحكومة الصينية المكلفين بتمهيد الطريق لهجمات إلكترونية مدمرة. في وقت لاحق من سبتمبر 2024، سيطرت السلطات الفيدرالية على شبكة الروبوتات التي تديرها مجموعة قرصنة صينية أخرى تسمى “Flax Typhoon”، والتي استخدمت شركة للأمن السيبراني مقرها بكين للمساعدة في إخفاء أنشطة قراصنة الحكومة الصينية. ثم في ديسمبر/كانون الأول، فرضت الحكومة الأمريكية عقوبات على شركة الأمن السيبراني لدورها المزعوم في “حوادث اقتحام كمبيوتر متعددة ضد ضحايا أمريكيين”.

منذ ذلك الحين، ظهرت مجموعة قرصنة جديدة أخرى مدعومة من الصين تسمى “سولت تايفون” في شبكات شركات الهاتف والإنترنت الأمريكية العملاقة، وهي قادرة على جمع معلومات استخباراتية عن الأمريكيين – والأهداف المحتملة للمراقبة الأمريكية – من خلال تعريض أنظمة الاتصالات المستخدمة للتنصت على المكالمات الهاتفية لإنفاذ القانون للخطر.

كما أن جهة تهديد صينية تدعى Silk Typhoon (المعروفة سابقًا باسم Hafnium)، وهي مجموعة قرصنة نشطة منذ عام 2021 على الأقل، عادت في ديسمبر 2024 بحملة جديدة استهدفت وزارة الخزانة الأمريكية.

إليكم ما تعلمناه عن مجموعات القرصنة الصينية التي تستعد للحرب.

فولت تايفون

يمثل Volt Typhoon سلالة جديدة من مجموعات القرصنة المدعومة من الصين؛ لم تعد تهدف فقط إلى سرقة أسرار أمريكية حساسة، بل الاستعداد لتعطيل “قدرة التعبئة” للجيش الأمريكي، وفقًا لمدير مكتب التحقيقات الفيدرالي آنذاك.

حددت Microsoft لأول مرة Volt Typhoon في مايو 2023، ووجدت أن المتسللين استهدفوا معدات الشبكة وقاموا باختراقها، مثل أجهزة التوجيه وجدران الحماية والشبكات الافتراضية الخاصة، منذ منتصف عام 2021 على الأقل كجزء من جهد مستمر ومتضافر للتسلل بعمق إلى أنظمة البنية التحتية الحيوية للولايات المتحدة. وقال مجتمع الاستخبارات الأمريكي إنه في الواقع، من المحتمل أن المتسللين كانوا يعملون لفترة أطول بكثير، وربما لمدة تصل إلى خمس سنوات.

قامت شركة Volt Typhoon باختراق الآلاف من هذه الأجهزة المتصلة بالإنترنت في الأشهر التي تلت تقرير Microsoft، مستغلة نقاط الضعف في الأجهزة التي كانت تعتبر “منتهية الصلاحية” وبالتالي لن تتلقى تحديثات أمنية بعد الآن. تمكنت مجموعة القرصنة بعد ذلك من الوصول إلى بيئات تكنولوجيا المعلومات في العديد من قطاعات البنية التحتية الحيوية، بما في ذلك الطيران والمياه والطاقة والنقل، والتمركز المسبق لتفعيل الهجمات الإلكترونية التخريبية المستقبلية التي تهدف إلى إبطاء رد حكومة الولايات المتحدة على غزو حليفها الرئيسي. تايوان.

وقال جون هولتكويست، رئيس العمليات: “هذا الممثل لا يقوم بجمع المعلومات الاستخباراتية بهدوء وسرقة الأسرار التي كانت هي القاعدة في الولايات المتحدة، بل يقوم بالتحقيق في البنية التحتية الحيوية الحساسة حتى يتمكنوا من تعطيل الخدمات الرئيسية إذا ومتى صدر الأمر”. محلل في شركة الأمن Mandiant.

قالت الحكومة الأمريكية في يناير 2024 إنها نجحت في تعطيل شبكة الروبوتات، التي تستخدمها شركة Volt Typhoon، والتي تتكون من الآلاف من أجهزة توجيه الشبكات المنزلية والمكاتب الصغيرة المختطفة في الولايات المتحدة، والتي استخدمتها مجموعة القرصنة الصينية لإخفاء نشاطها الخبيث الذي يهدف إلى استهداف الولايات المتحدة. البنية التحتية الحيوية. وقال مكتب التحقيقات الفيدرالي إنه تمكن من إزالة البرامج الضارة من أجهزة التوجيه المختطفة عن طريق عملية أقرتها المحكمة، مما أدى إلى قطع اتصال مجموعة القرصنة الصينية بشبكة الروبوتات.

بحلول يناير 2025، اكتشفت الولايات المتحدة أكثر من 100 عملية اقتحام في جميع أنحاء البلاد وأراضيها مرتبطة بإعصار فولت، وفقًا لتقارير بلومبرج. وقال التقرير إن عددا كبيرا من هذه الهجمات استهدف جزيرة غوام، وهي جزيرة أمريكية في المحيط الهادئ وموقع استراتيجي للعمليات العسكرية الأمريكية. يُزعم أن فولت تايفون استهدف البنية التحتية الحيوية في الجزيرة، بما في ذلك هيئة الطاقة الرئيسية، وأكبر مزود للهواتف الخلوية في الجزيرة، والعديد من الشبكات الفيدرالية الأمريكية، بما في ذلك أنظمة الدفاع الحساسة، المتمركزة في غوام. ذكرت بلومبرج أن Volt Typhoon استخدم نوعًا جديدًا تمامًا من البرامج الضارة لاستهداف الشبكات في غوام لم يتم نشرها من قبل، وهو ما اعتبره الباحثون علامة على الأهمية الكبيرة التي تتمتع بها المنطقة بالنسبة للقراصنة المدعومين من الصين.

إعصار الكتان

Flax Typhoon، التي كشفت عنها Microsoft لأول مرة بعد عدة أشهر في تقرير صدر في أغسطس 2023، هي مجموعة قرصنة أخرى مدعومة من الصين، والتي يقول المسؤولون إنها تعمل تحت ستار شركة أمن سيبراني متداولة علنًا ومقرها بكين لتنفيذ اختراقات ضد البنية التحتية الحيوية في الآونة الأخيرة. سنين. وقالت مايكروسوفت إن Flax Typhoon – النشط أيضًا منذ منتصف عام 2021 – استهدف في الغالب العشرات من “الوكالات الحكومية ومؤسسات التعليم والتصنيع الحيوي وتكنولوجيا المعلومات في تايوان”.

ثم في سبتمبر 2023، قالت الحكومة الأمريكية إنها سيطرت على شبكة روبوتات أخرى، تتكون من مئات الآلاف من الأجهزة المتصلة بالإنترنت المختطفة، واستخدمتها شركة Flax Typhoon “للقيام بأنشطة إلكترونية ضارة متخفية في صورة حركة مرور روتينية على الإنترنت من الأجهزة الاستهلاكية المصابة.” وقال ممثلو الادعاء إن شبكة الروبوتات سمحت لقراصنة آخرين مدعومين من الحكومة الصينية “باختراق شبكات في الولايات المتحدة وحول العالم لسرقة المعلومات وتعريض البنية التحتية لدينا للخطر”.

وأكدت وزارة العدل في وقت لاحق النتائج التي توصلت إليها مايكروسوفت، وأضافت أن طائرة فلاكس تايفون “هاجمت أيضًا العديد من الشركات الأمريكية والأجنبية”.

وقال مسؤولون أمريكيون إن شبكة الروبوتات التي يستخدمها Flax Typhoon تم تشغيلها والتحكم فيها من قبل شركة الأمن السيبراني Integrity Technology Group ومقرها بكين. في يناير 2024، فرضت الحكومة الأمريكية عقوبات على شركة Integrity Tech بسبب صلاتها المزعومة بشركة Flax Typhoon.

إعصار الملح

أحدث مجموعة – وربما الأكثر خطورة – في الجيش السيبراني المدعوم من الحكومة الصينية التي تم الكشف عنها في الأشهر الأخيرة هي سولت تايفون.

تصدرت Salt Typhoon عناوين الأخبار في أكتوبر 2024 لنوع مختلف من عمليات جمع المعلومات. وكما ذكرت صحيفة وول ستريت جورنال لأول مرة، فإن مجموعة القرصنة المرتبطة بالصين اخترقت العديد من مزودي خدمات الاتصالات والإنترنت في الولايات المتحدة، بما في ذلك AT&T، وLumen (المعروفة سابقًا باسم CenturyLink)، وVerizon. ذكرت الصحيفة في وقت لاحق في يناير 2025 أن شركة Salt Typhoon اخترقت أيضًا شركتي خدمات الإنترنت Charter Communications وWindstream ومقرهما الولايات المتحدة. وقالت المسؤولة السيبرانية الأمريكية آن نويبرجر، إن الحكومة الفيدرالية حددت شركة اتصالات تاسعة لم تذكر اسمها.

وفقًا لأحد التقارير، ربما تمكنت شركة Salt Typhoon من الوصول إلى شركات الاتصالات هذه باستخدام أجهزة توجيه Cisco المخترقة. بمجرد دخول شبكات الاتصالات، تمكن المهاجمون من الوصول إلى البيانات الوصفية لمكالمات العملاء والرسائل النصية، بما في ذلك طوابع التاريخ والوقت لاتصالات العملاء وعناوين IP المصدر والوجهة وأرقام الهواتف لأكثر من مليون مستخدم؛ وكان معظمهم من الأفراد الموجودين في منطقة واشنطن العاصمة. وفي بعض الحالات، تمكن المتسللون من التقاط صوت الهاتف من كبار الأمريكيين. وقال نويبرجر إن “عددًا كبيرًا” ممن تمكنوا من الوصول إلى البيانات كانوا “أهدافًا محل اهتمام الحكومة”.

من خلال اختراق الأنظمة التي تستخدمها وكالات إنفاذ القانون لجمع بيانات العملاء بترخيص من المحكمة، من المحتمل أيضًا أن تتمكن شركة Salt Typhoon من الوصول إلى البيانات والأنظمة التي تضم الكثير من طلبات البيانات التي تقدمها الحكومة الأمريكية، بما في ذلك الهويات المحتملة للأهداف الصينية للمراقبة الأمريكية.

ولم يُعرف بعد متى حدث اختراق أنظمة التنصت، ولكن قد يعود تاريخه إلى أوائل عام 2024، وفقًا لتقرير الصحيفة.

أخبرت AT&T وVerizon موقع TechCrunch في ديسمبر 2024 أن شبكاتهم كانت آمنة بعد استهدافها من قبل مجموعة التجسس Salt Typhoon. وأكدت Lumen بعد فترة وجيزة أن شبكتها كانت خالية من المتسللين.

إعصار الحرير

ظهرت مجموعة القرصنة المدعومة من الصين، والتي كانت تُعرف سابقًا باسم Hafnium، بهدوء مرة أخرى باسم Silk Typhoon المُسمى حديثًا بعد ارتباطها باختراق وزارة الخزانة الأمريكية في ديسمبر 2024.

في رسالة إلى المشرعين اطلعت عليها TechCrunch، قالت وزارة الخزانة الأمريكية في أواخر ديسمبر 2024 إن المتسللين المدعومين من الصين استخدموا مفتاحًا مسروقًا من BeyondTrust – وهي شركة توفر تقنية الوصول إلى الهوية للمؤسسات الكبيرة والإدارات الحكومية – للوصول عن بعد إلى بعض محطات عمل موظفي الخزانة، بما في ذلك الوثائق الداخلية على الشبكة غير السرية للإدارة.

أثناء الاختراق، قامت مجموعة القرصنة التي ترعاها الدولة أيضًا باختراق مكتب العقوبات التابع لوزارة الخزانة، والذي يفرض عقوبات اقتصادية وتجارية على الدول والأفراد؛ كما اخترقت لجنة الاستثمار الأجنبي التابعة لوزارة الخزانة في ديسمبر/كانون الأول، وهو المكتب الذي يتمتع بسلطة منع الاستثمارات الصينية في الولايات المتحدة.

Silk Typhoon ليست مجموعة تهديد جديدة، فقد تصدرت عناوين الأخبار سابقًا في عام 2021 باسم Hafnium – كما كانت تُعرف آنذاك – لاستغلال الثغرات الأمنية في خوادم البريد الإلكتروني Microsoft Exchange المستضافة ذاتيًا والتي أضرت بأكثر من 60 ألف مؤسسة.

وفقًا لمايكروسوفت، التي تتعقب مجموعة القرصنة المدعومة من الحكومة، تركز شركة Silk Typhoon عادةً على الاستطلاع وسرقة البيانات، وهي معروفة باستهداف مؤسسات الرعاية الصحية وشركات المحاماة والمنظمات غير الحكومية في أستراليا واليابان وفيتنام والولايات المتحدة. .

تم النشر لأول مرة في 13 أكتوبر 2024 وتم تحديثه.