Valljuk be, Kínát nem ma kezdték el vádolni kibertámadásokkal. Az elmúlt évtizedek során Pekinget többször is hírbe hozták állami támogatású hackerakciókkal, amelyek célpontjai közt – a fent felsoroltakon kívül – voltak amerikai kormányzati hivatalok, európai techvállalatok, sőt nemzetközi szervezetek is. A Snowden-iratok, az Equifax-adatlopás és a SolarWinds-botrány mind a kibertámadások korszakának meghatározó eleme volt. 

Tavaly a globális akciók szintet léptek: nemcsak egyre több volt belőlük, hanem kifinomultabbak és pusztítóbbak is lettek. 

A Microsoft 2024-es Digital Defence Report jelentése szerint  

világszerte naponta 600 millió kibertámadás éri a felhasználókat, ami az előző évhez képest közel háromszoros növekedés. 

A Statista adatai szerint az állami támogatású kínai hackerek tevékenysége tavaly új szintre lépett: ezek a csoportok 24 politikai jellegű támadást hajtottak végre különböző országok ellen. Ezek túlnyomórészt állami érdekeket szolgáltak, és különösen érzékeny célpontokat vettek célba. 

Az ábra szerint a legtöbb offenzívát állami kapcsolódású hackercsoportok hajtották végre, összesen 10 alkalommal, és jellemzően ipari kémkedésre, érzékeny adatok megszerzésére, politikai folyamatok befolyásolására irányultak. Ezek az egységek gyakran állami megrendelésre dolgoznak, lehetőséget biztosítva Kínának arra, hogy technológiai, gazdasági és politikai előnyöket szerezzen anélkül, hogy közvetlenül felelősségre vonható lenne. 

A második leggyakoribb és igencsak aggasztó kategória a kritikus infrastruktúrák elleni támadások, amelyekből 7 esetet dokumentáltak. Ezáltal olyan szegmensek kerültek célkeresztbe, amelyek az országok alapvető működését biztosítják, vagyis az energiahálózatok, a közlekedési rendszerek vagy a vízellátási infrastruktúrák. Ezek a műveletek súlyos következményekkel járhatnak, hiszen egy sikeres akció megbéníthat egy teljes régiót vagy gazdasági ágazatot.  

A harmadik leggyakoribb a nem politikai indíttatású támadások politikai célpontok ellen, amelyekből 4-et regisztráltak. Ez azt mutatja, hogy bár nem minden kiberakciónak van közvetlen geopolitikai célja, mégis gyakran érnek el kormányzati szerveket vagy politikai szereplőket. Ezek lehetnek kémkedési akciók, kampányadatok ellopása vagy politikai tisztviselők elleni célzott műveletek.  

Az ábra azt is mutatja, hogy államilag közvetlenül végrehajtott támadások csak 2 esetben fordultak elő. A legkevésbé gyakori típusok azok, amelyek politikai célpontok ellen irányulnak, és amelyekből mindössze 1 esetet dokumentáltak.  

Konkrét esetek 

Az első jelentős kínai hackertámadás, amely nyugati cégeket célzott meg, a 2010-ben nyilvánosságra került Aurora művelet volt. A Google ellen indított akció során a hackerek hozzáférést szereztek egy érzékeny adatbázishoz, amely évekre visszamenőleg tartalmazott információkat amerikai megfigyelési célpontokról. 

Azóta  a kibertámadások módszerei jelentősen fejlődtek. A mesterséges intelligencia (MI) mára kulcsszereplővé vált a digitális offenzívák terén, megkönnyítve az ellenséges „alakulatok” dolgát azáltal, hogy automatizálja az adathalászatot, fokozza a social engineering technikákat – ezáltal a támadóknak talán még sosem volt ennyire egyszerű dolguk. 

Az MI képes azonosítani a sebezhetőségeket, előre jelezni a rendszerhibákat, és olyan célzott adathalász-támadásokat generálni, amelyek szinte megkülönböztethetetlenek az emberi kommunikációtól.  

Ennek eredményeként a kiberakciók ma már gyorsabbak, pontosabbak és nehezebben felismerhetők. A közelmúltban több olyan eset is napvilágot látott, ahol mesterséges intelligenciát használtak nagyszabású kiberműveletek végrehajtására.  

De ne szaladjunk ennyire előre. Nézzük meg, hogy eddig milyen Kínához köthető, jelentős kibertámadások sújtották a világot – legalábbis, amikről tudunk.  

Kínai hackerek az amerikai távközlési óriáscégek rendszereiben 

A The Washinton Post tavaly október elején számolt be arról, hogy vélhetően kínai hackerek törtek be több jelentős amerikai távközlési szolgáltató rendszerébe. A támadás többek között az Egyesült Államok három legnagyobb internetszolgáltatóját, az AT&T-t, a Verizont és a Lument érintette – sokak szerint azonban a lista valószínűleg ennél is hosszabb. A szakértők hozzátették, hogy a hackerek valószínűleg hónapok óta bent voltak a rendszerekben. 

A támadás mögött feltehetően a kínai Állambiztonsági Minisztérium állt. A műveletet belső körökben Salt Typhoon néven emlegetik, ezt a nevet a Microsoft adta a kínai hackertevékenységet megfigyelő csoportnak. 

A vizsgálat akkori szakaszában úgy tűnt, hogy a hackerek egyik fő célpontja a törvényes lehallgatási kérelmekkel kapcsolatos adatok megszerzése volt, bár egy amerikai biztonsági tisztviselő szerint a behatolók ennél több információhoz is hozzáférhettek, például a szolgáltatók rendszerein áthaladó általános internetes forgalomra is ráláttak. 

A kínai nagykövetség washingtoni szóvivője tagadta a vádakat. Liu Peng-jü szerint –„az amerikai hírszerző közösség és a kiberbiztonsági cégek titokban együttműködnek hamis bizonyítékok összeállításában és dezinformáció terjesztésében a szerintük a kínai kormány által támogatott kibertámadásokról” az Egyesült Államok ellen, hogy több finanszírozást és kormányzati szerződést szerezzenek. A szóvivő azt állította, hogy valójában  

Kína a kibertámadások egyik fő áldozata. 

Amerikai pénzügyminisztérium 

Az amerikai pénzügyminisztérium tavaly decemberben hozta nyilvánosságra, hogy egy kínai székhelyű behatoló hozzáférést szerzett több alkalmazott munkaállomásához és nem titkosított dokumentumaikhoz.  

A The Verge által látott, törvényhozóknak írt levélben a minisztérium közölte, hogy a BeyondTrust, a távmenedzsmentszoftver mögött álló cég december 8-án értesítette az ügynökséget a betörésről. A tárca részéről azt is elmondták, hogy a támadást követően – amelyet egy a kínai állam által támogatott Advanced Persistent Threat hackernek tulajdonítottak – a cég együttműködött a Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökséggel és az FBI-jal.  

Ez a támadás a jelek szerint kapcsolódik a BeyondTrust korábbi biztonsági incidenséhez, amely a vállalat távoli támogatási szoftverét használó ügyfeleit érintette. Akkor a cég a támadást a távoli támogatási szoftveréhez tartozó, kompromittált API-kulcsnak tulajdonította. 

Célkeresztben Tajvan 

A tajvani Nemzetbiztonsági Hivatal jelentése szerint a Kormányzati Szolgáltatási Hálózat ellen irányuló akciók száma drasztikusan megemelkedett: míg 2023-ban napi átlagban 1,2 millió esetet regisztráltak, addig 2024-ben ez már 2,4 millióra nőtt. A jelentés rámutatott, hogy bár a támadások jelentős részét sikeresen észlelték és blokkolták, azok növekvő száma egyértelműen jelzi a kínai hackertevékenység növekedését – írta a Reuters. 

A támadások elsődleges célpontjai között szerepeltek a telekommunikációs rendszerek, a közlekedési infrastruktúra és a védelmi létesítmények. A kínai kiberhadviselés különösen aktívvá vált a katonai hadgyakorlatok idején, amikor többek között túlterheléses támadásokat (DDoS) indítottak a tajvani közlekedési és pénzügyi intézmények weboldalai  ellen. 

A jelentés feltárta, hogy Kína tavaly két jelentős hadgyakorlatot is tartott Tajvan körül Joint Sword – 2024A és B néven, májusban és októberben. A kibertámadások időzítése nem volt véletlen, szándékosan estek egybe a katonai manőverekkel. A kínaiak nem csak az infrastrukturális szisztémákat célozták meg: támadásaik kiterjedtek a tajvani köztisztviselők e-mail-rendszereire is.  

Novemberben pedig azt állította a tajvani védelmi minisztérium, hogy egy kínai léggömböt észleltek a szigettől északra a tenger felett. Április óta ez volt az első alkalom, hogy ilyen incidensről számoltak be, Kína tehát úgy tűnik, szinte minden oldalról támadja Tajvant. 

Négy évig maradt rejtve egy kínai botnet 

Egy masszív kínai állami IoT botnet négy éven át működött észrevétlenül, mielőtt az FBI felszámolta. Az eddig legnagyobb ilyen botnethálózat több mint 60 ezer megfertőzött eszközből állt a csúcsidőszakban. Ezek 75 százaléka észak-amerikai és európai otthonokban, illetve irodákban volt található. 

A botnet internetre csatlakoztatott eszközök összessége, amelyek mindegyike egy vagy több botot futtat. Felhasználhatók túlterheléses támadások (DDoS) végrehajtására, adathalászatra, spamek küldésére, emellett lehetővé teszik a támadó számára, hogy hozzáférjen az eszközhöz és annak kapcsolatához. A botnet a robot és a network szavak összetételéből képzett szó. 

Az FBI tavaly szeptemberben egy olyan kiterjedt hálózatot számolt fel, amelyet kínai állami támogatású hackerek négy éven át használtak kormányzati szervek, telekommunikációs cégek és más célpontok elleni támadásokra az Egyesült Államokban és Tajvanon. A Raptor Train névre keresztelt botnet elsősorban kis méretű irodai és otthoni routerekből, megfigyelő kamerákból, hálózati tárolókból és más, internethez csatlakoztatott eszközökből épült fel világszerte. Az amerikai tisztviselők szerint az elmúlt négy évben 260 ezer ilyen eszköz fordult meg ebben a kifinomult hálózatban. 

Mégsem csak paranoia?
Egy tavaly év elején bejelentett intézkedéscsomag bizonyos digitális biztonsági követelményeket ír elő a stratégiai tengeri kikötőkben használatban lévő, külföldön gyártott darukra és számítógépes hálózatokra vonatkozóan. Az Egyesült Államok nem akar kínai darukat, inkább gyártana sajátot. A távol-keleti nagyhatalom szerint az USA kiberfenyegetésekkel és rakodógépekkel kapcsolatos aggálya csak paranoia – ennek ellenére ezeket olyan kifinomult érzékelőkkel szerelték fel, amelyek képesek regisztrálni és nyomon követni a konténerek eredetét és rendeltetési helyét, így Kína információt szerezhet az országba érkező vagy onnan kifelé irányuló szállítmányokról. 

Christopher Wray, az FBI tavaly decemberben lemondott igazgatója az Aspen Cyber Summit konferencián elmondta, hogy a Flax Typhoon nevű hackercsoport kritikus infrastruktúrákat célzott meg az Egyesült Államokban és külföldön, a vállalatoktól és médiacégektől kezdve az egyetemeken át a kormányzati szervekig. A csoport internetre csatlakoztatott eszközöket használt, több százezer készüléket, hogy olyan botnetet hozzon létre, amely segítette őket a rendszerek feltörésében és a bizalmas adatok megszerzésében. 

Hozzátette, hogy a bűnüldöző szervek bírósági felhatalmazással vették át az irányítást a Raptor Train infrastruktúrája felett. A januári művelethez hasonlóan a megfertőzött eszközök azonosításával és a malware eltávolításával végezték a tisztítást. Amikor a támadók észlelték a beavatkozást, megpróbálták új szerverekre áttelepíteni a botjaikat, és DDoS-támadást is indítottak az FBI ellen. 

A partnereikkel együttműködve azonban nemcsak elhárították a támadást, hanem órák alatt azonosították az új infrastruktúrát is. Amikor az FBI az új szerverek ellen fordult, a támadók felismerték, kivel állnak szemben, és gyakorlatilag felégették az új infrastruktúrájukat, feladva a botnetet. 

Senki sem sebezhetetlen, még az Európai Unió sem 

A kijevi kibervédelmi hatóság vezetője tavaly januárban elmondta, hogy senki sem érinthetetlen. Ezt a kijelentését az tette különösen nyomatékossá, hogy az orosz katonai hírszerzéshez köthető Sandworm hackercsoport decemberben sikeresen támadta meg az ukrán Kyivstar telekommunikációs vállalatot, aminek következtében több mint 24,3 millió ügyfél maradt telefonkapcsolat nélkül. Az ukrán szakértők elmondták, hogy a behatolók hónapokon át észrevétlenül tartózkodtak a rendszerben, mielőtt aktiválták a támadást. 

Februárban az Európai Parlament belső feljegyzése szerint spyware-t találtak két képviselő és egy védelmi albizottsági munkatárs eszközein. A francia Nathalie Loiseau, a védelmi albizottság elnöke az izraeli fejlesztésű Pegasus kémszoftver célpontjává vált. Szintén ilyet találtak Elena Joncseva bolgár képviselő telefonján is. Az incidens olyan súlyos volt, hogy az Európai Parlament a védelmi albizottság minden tagját az eszközeik ellenőriztetésére kérte – írta a Politico. 

Márciusban Németországot érte jelentős csapás, amikor kiszivárgott egy 38 perces hangfelvétel, amelyen magas rangú katonai tisztviselők az Ukrajnának nyújtandó támogatást vitatták meg, beleértve a Taurus rakéták esetleges bevetését Oroszország ellen. Boris Pistorius védelmi miniszter szerint a lehallgatás egy nem biztonságos szállodai telefonvonalon keresztül történt. A tárcavezető hangsúlyozta, hogy „ez egy hibrid dezinformációs támadás, amelynek célja a megosztás és egységünk aláásása”. 

Franciaországot ugyanebben a hónapban példátlan intenzitású kibertámadások érték, amelyek több minisztériumot is érintettek. Nagy-Britannia március végén nyíltan Kínát vádolta meg a választási felügyeleti szerv és egyes törvényhozók elleni akciókkal.  

A viszonylag nyugodt április után májusban újabb támadássorozat kezdődött, az Olaf Scholz kancellár pártjához tartozó e-mail-fiókok kompromittálódtak egy 2023-as orosz offenzívában. A támadás mögött a hírhedt Fancy Bear hackercsoport állt, amely az orosz katonai hírszerzés része. Lengyelország és Csehország szintén megerősítette, hogy hasonló támadásokat szenvedtek el ettől az egységtől. 

A brit védelmi minisztériumot ért, szintén májusi támadás különösen súlyosnak bizonyult: egy alvállalkozó által üzemeltetett bérszámfejtési rendszer sebezhetőségét kihasználva a támadók hozzáfértek a fegyveres erők 270 ezer tagjának személyes adataihoz, beleértve a neveket, a bankszámlaszámokat és egyes esetekben a lakcímeket is. Grant Shapps akkori védelmi miniszter a parlamentben elmondta, hogy bár közvetlenül nem nevezte meg Kínát, a hackertámadás feltehetően egy rosszindulatú szereplő műve, és nem zárható ki az állami részvétel. 

Guam válhat a kiberháború új frontvonalává 

A legújabb jelentések szerint valakik Guam szigetének kritikus infrastruktúráját vették célba, és az egyik legismertebb kínai hackercsoport, a Volt Typhoon a fő gyanúsított. Az Egyesült Államok hadseregének csendes-óceáni támaszpontja miatt a sziget stratégiai jelentősége kiemelkedő.  

A Bloomberg értesülései szerint a Guam Power Authority (GPA), azaz a sziget egyetlen áramszolgáltatója lehetett a fő célpont. A támadók rendkívül kifinomult módszerekkel dolgoztak – nem volt nyílt adatlopás vagy közvetlen rendszerbénítás, hanem apró anomáliák, például szokatlan bejelentkezési mintázatok utaltak a jelenlétükre. A Volt Typhoon ismert arról, hogy diszkrét, hosszú távú beszivárgási technikákat alkalmaz, a célja pedig nem feltétlenül az azonnali károkozás, hanem az infrastruktúrába való beépülés és a jövőbeni támadások előkészítése. 

A kockázat jelentős, mivel a GPA Guam egyetlen áramellátója és az amerikai haditengerészet a legnagyobb fogyasztója, amely 2023-ban az energiatermelés 20 százalékát használta fel. Ha egy ellenséges hatalom sikeresen manipulálná az áramszolgáltatást, az közvetlen hatással lenne a sziget katonai műveleteire. Kína természetesen határozottan tagadta a vádakat. 

Összegzés 

A vélhetően kínai állami támogatású kibertámadások egyre kifinomultabbá válnak, miközben a műveletek célpontjai és módszerei folyamatosan változnak. A legújabb jelentések arra utalnak, hogy nem csupán adatlopásokról és ipari kémkedésről van szó, hanem egy sokkal komplexebb stratégiai játszma zajlik a kibertérben. 

A kritikus infrastruktúrák elleni támadások fokozódása – legyen szó az amerikai távközlési hálózatokról, Guam katonai jelentőségéről vagy Tajvan informatikai rendszereiről – azt mutatja, hogy  

a kiberhadviselés ma már nem csupán egy kiegészítő eszköz, hanem a geopolitikai konfliktusok egyik fő fegyverneme lett. 

Mindeközben a mesterséges intelligencia megjelenése új korszakot nyitott a kibertámadásokban. Az MI-alapú akciók gyorsabbak, célzottabbak és szinte észrevétlenek lehetnek, ami komoly kihívás elé állítja a védelmi szakembereket és a kormányokat. 

A kérdés az, hogy a világ készen áll-e egy kibervédelmi paradigmaváltásra. Ha a jelenlegi trendek folytatódnak, könnyen elképzelhető, hogy a következő nagy konfliktus már nem a valódi harctéren, hanem szerverfarmok és virtuális hálózatok között fog eldőlni. Egyértelmű, hogy a digitális hadviselés új normává vált – és aki lemarad, az egyre nagyobb veszélynek teszi ki a saját gazdaságát és biztonságát. 

Kapcsolódó: