Хакерские группы из Китая: обеспечение кибербезопасности критической инфраструктуры

1992

За последние несколько лет кибератаки на критическую инфраструктуру (КИ) стали более распространенными, коварными и изощренными. Некоторые из этих атак имели разрушительные последствия для больших и малых государств. Буквально в начале этого месяца порт Нагоя подвергся кибератаке со стороны злоумышленников из России, в результате чего была нарушена поставка деталей, необходимых для сборки автомобилей.

В такие времена государства, а также владельцы и операторы CI должны ответственно управлять угрозами и работать вместе, чтобы обеспечить постоянную доступность и работоспособность CI.

Киберугрозы критической инфраструктуре

Цели злоумышленников, осуществляющих кибератаки на КИ, различаются.

Особенно активны группы, использующие программы-вымогатели — угрозы выдачи или удержания данных или доступа к заложникам систем в обмен на оплату. В мае 2022 года Коста-Рика объявила чрезвычайное положение после серии атак программ-вымогателей со стороны злоумышленников, базирующихся в России. В результате кибератаки были задержаны выплаты заработной платы государственным служащим, а также были нарушены системы сбора налогов и таможенных сборов. Атака программы-вымогателя на Colonial Pipeline в США в мае 2021 года показала, как атаки могут отключить жизненно важный действующий трубопровод и нарушить транспортную и экономическую деятельность. И это всего лишь деятельность групп, целью которых является получение прибыли.

Сотрудник европейской многонациональной службы информационных технологий и консалтинговой компании Atos в центре кибербезопасности компании в Мадриде во время подготовки к Олимпийским играм 2024 года в Париже, 24 апреля 2023 года. (Пьер-Филипп Марку/AFP)

Атака на Solarwinds в конце 2020 года показала, как вредоносный код может незаметно проникнуть в цепочку поставок у его источника и поставить под угрозу клиентов компании. Злоумышленники использовали несколько методов, чтобы избежать обнаружения и скрыть активность. В результате этого инцидента были взломаны тысячи государственных учреждений и частных компаний, что было сочтено актом шпионажа, чем в той или иной форме занимаются все государства. Недавнее раскрытие информации о китайской хакерской группе под названием Storm-0558, якобы получившей доступ к электронной почте высокопоставленных чиновников США, таких как министр торговли Джина Раймондо, следует рассматривать как шпионскую деятельность, а не как имеющую потенциал для уничтожения CI.

Другая форма кибератак на КИ более серьезна и делается для того, чтобы повлиять на поведение другого государства. Непосредственно перед вторжением в Украину Россия провела серию кибератак, чтобы вывести из строя сети связи Украины. Украинский КИ в прошлом серьезно пострадал от злонамеренной киберактивности России, поскольку его энергосистема пострадала от серьезного сбоя в агонии украинской зимы 2016 года.

Хотя нет однозначной связи с тем, что этот акт был заказан правительством Китая, отсутствие финансового мотива в этом инциденте указывает на уровень поддержки со стороны хорошо финансируемого субъекта, у которого есть стимул для ведения шпионской деятельности.

Вольтовый тайфун — грядущая техногенная катастрофа?

Поэтому это стало поводом для беспокойства, когда в конце мая 2023 года появились сообщения об обнаружении спонсируемого государством китайского субъекта в организациях разведки на Гуаме и в других частях США. Злоумышленник имел кодовое имя «Вольт Тайфун» и использовал методы для получения информации, оставаясь при этом незамеченным в системе, но может вызвать более масштабные последствия, такие как нарушение функций CI.

Хотя нет однозначной связи с тем, что этот акт был заказан правительством Китая, отсутствие финансового мотива в этом инциденте указывает на уровень поддержки со стороны хорошо финансируемого субъекта, у которого есть стимул для ведения шпионской деятельности. Беспокойство по поводу тайфуна «Вольт» усугублялось тем фактом, что Гуам является чувствительной и стратегически расположенной военной базой США, а также его значением по отношению к Китаю и его потенциальными амбициями силы.

Эсминец ВМС США «Мастин» пришвартовался в порту на Гуаме 14 марта 2018 года. (ВМС США)
Эсминец ВМС США «Мастин» пришвартовался в порту на Гуаме 14 марта 2018 года. (ВМС США)

Еще одним фактором, способствовавшим напряженности, вызванной этим отчетом, является плохое состояние китайско-американских отношений. Если бы отношения были лучше, обнаружение такой деятельности можно было бы рассматривать как упражнение по сбору разведданных, и любое уведомление могло бы быть сделано через дипломатические каналы.

Но отношения между двумя державами в последнее время были ужасными. Существующее недоверие каждой стороны друг к другу и публичное раскрытие инцидента, вероятно, связаны между собой. Публично разоблачив Volt Typhoon, США могли бы выразить свое неудовольствие китайскому правительству и в то же время уведомить владельцев и операторов CI о злонамеренной деятельности, которой почти нечего терять.

Кроме того, отсутствие диалога и доверия означает, что мотивы этого инцидента можно рассматривать более жестко и как наихудший сценарий, как предвестник вооруженного конфликта, как злонамеренная деятельность России в Украине. Поэтому укрепление доверия Китая к США и их партнерам как никогда важно, чтобы реакция на злонамеренные кибератаки на КИ не вышла из-под контроля.

Анализ ответов — Китай, США и Microsoft

Реакция на разоблачение Volt Typhoon также демонстрирует различные подходы к противодействию злонамеренной активности в киберпространстве.

Башня камер наблюдения (в центре слева) видна на набережной Бунд за финансовым районом Луцзяцзуй на заднем плане в Шанхае, Китай, 23 мая 2023 года. (Гектор Ретамал/AFP)
Башня камер видеонаблюдения (в центре слева) стоит на набережной Бунд за финансовым районом Луцзяцзуй на заднем плане в Шанхае, Китай, 23 мая 2023 года. (Гектор Ретамал/AFP)

В то время как большинство государств с кибер-возможностями недовольны раскрытием их правонарушений в киберпространстве, это не делает кибератаки на КИ правильными. Китайский ответ на отчет был упражнением в том, что насчет того, чтобы опровергнуть утверждения о том, что Китай назвал США «империей хакеров» и указал на отсутствие доказательств, представленных в отчете, предполагая, что США не имели права приписывать действовать в отношении Китая, а США отрицали проведение собственных киберопераций. Этот воинственный и резкий подход, по-видимому, является стандартной реакцией Китая, и Китай отреагировал таким же образом, когда госсекретарь США Энтони Блинкен поднял вопрос о взломе электронной почты на прошлой неделе с государственным советником Китая Ван И в кулуарах встречи министров иностранных дел АСЕАН. Встреча в Джакарте.

Возможно, Китай мог бы более четко определить свои цели и быть более ответственным за использование своих кибервозможностей.

Но этот подход упускает из виду защиту CI от кибератак. США и Microsoft имели полное право опубликовать отчет о раскрытой вредоносной активности. Microsoft, как поставщик компьютерных услуг, преуспела в обмене информацией. Это оправдано для обеспечения безопасности своих клиентов с помощью своевременных и целенаправленных мер по исправлению положения. Информация о том, как группа Volt Typhoon осуществляет свои эксплойты, также предоставляется широкой публике, поэтому все пользователи находятся в большей безопасности.

Правительство США обязано уведомлять своих руководителей и владельцев CI, а также партнеров в регионе о потенциальных и текущих угрозах со стороны всех субъектов угроз. Целью такого раскрытия информации не обязательно является попытка демонизировать Китай и привлечь внимание к спонсируемой государством киберактивности, но ее можно рассматривать как средство укрепления внутреннего понимания угроз для КВОИ.

Логотип Microsoft на MWC (Всемирный мобильный конгресс) в Барселоне, Испания, 2 марта 2022 г. (Хосеп Лаго/AFP)
Логотип Microsoft на MWC (Всемирный мобильный конгресс) в Барселоне, Испания, 2 марта 2022 г. (Хосеп Лаго/AFP)

Возможно, Китай мог бы более четко определить свои цели и быть более ответственным за использование своих кибервозможностей. Одним из способов обеспечения подотчетности является четкое представление странами того, как используются их кибервозможности. Великобритания, в частности, определила три основных принципа проведения своих наступательных киберопераций, которые должны быть подотчетными, точными и взвешенными в своем воздействии. Это подкрепляется надежной правовой базой внутреннего и международного права с дополнительным независимым надзором за такой деятельностью.

До сих пор Китай мало что говорил о своих возможностях и о том, как они используются. До сих пор картина деятельности Китая, которая была нарисована посредством этих публичных разглашений, читается как обвинительный акт, который наносит ущерб его репутации.

Устранение угроз со всеми партнерами

Стоимость защиты сетей от спонсируемых государством киберпреступников, которые хорошо обеспечены как персоналом, так и оборудованием, огромна, и у частной КИ может не быть ресурсов для защиты от таких акторов. Поэтому необходимо сочетание сотрудничества как со стороны владельцев КИ из частного сектора, так и их правительств, а также между правительствами для обеспечения того, чтобы КИ оставались безопасными, защищенными и постоянно функционирующими.

Нормы ответственного государственного поведения, рекомендованные Группой правительственных экспертов ООН в 2015 г. и согласованные всеми государствами, достаточно четко решают вопрос защиты КВОИ. Хотя нормы возлагают на государства ответственность за принятие надлежащих мер по защите их КВОИ от угроз ИКТ, это не мешает правительствам сотрудничать с другими государствами и их частным сектором для обеспечения безопасности их КВОИ. Это включает в себя обмен информацией об угрозах и векторах, которые злоумышленники используют для компрометации CI.

Однако время и мнение не на стороне Китая, и ему следует подумать о соблюдении и реализации правил ответственного государственного поведения.

(СПХ Медиа)
Китай мог бы сотрудничать с международным сообществом, чтобы ужесточить правила в отношении таких атак. (СПХ Медиа)

Кроме того, штаты должны быть сокращены; нормы также призывают государства «не осуществлять и сознательно не поддерживать деятельность в области ИКТ, которая преднамеренно наносит ущерб критической инфраструктуре». Хотя шпионская деятельность государств не наносит ущерба КИ, потенциал эксплойта подрывает уверенность государств в соблюдении правил.

Государства, особенно те, которые имеют для этого возможность, должны держаться подальше от сетей CI, чтобы гарантировать, что все государства, включая малые и развивающиеся государства, могут использовать преимущества информационных и коммуникационных технологий и функционировать с минимальными угрозами для системы.

Однако время и мнение не на стороне Китая, и ему следует подумать о соблюдении и реализации правил ответственного государственного поведения. Уверенность в том, что Китай является ответственным государственным деятелем и лидером в киберпространстве, ускользает каждый раз, когда делается раскрытие информации, и у него есть возможность четко обозначить свою позицию в отношении проведения кибератак на КВОИ.

Китай с его амбициями по установлению норм в международных отношениях и сопровождающей его риторикой об ответственном поведении должен взять на себя роль лидера и двигаться к запрету нападений на КВОИ и работать вместе с международным сообществом над ужесточением правил в отношении таких нападений. Он также может начать с прозрачности в использовании таких возможностей и развития эффективных каналов связи и сотрудничества с государствами по всему миру в качестве меры укрепления доверия для защиты КИ. Это может породить и укрепить доверие к китайскому руководству в установлении правил для киберпространства.

По теме: Как Китай ужесточает контроль над трансграничной передачей данных | Web3 с китайской спецификой: поиск китайского решения для регулирующих органов, разработчиков и пользователей | Юго-Восточная Азия должна противостоять угрозе экономического шпионажа со стороны Китая и других стран | Дилемма цифрового регулирования в США: как проводить цензуру в свободном обществе?

Читать полную новость на сайте