Kai kalbama apie nulaužtus buities įrenginius, lengva įsivaizduoti, kad programišiams staiga parūpo, ką žmogus laiko šaldytuve. Iš tikrųjų tokiose kampanijose įrenginys dažniausiai naudojamas ne dėl jo turinio, o dėl jo vietos internete.
Buitinis maršrutizatorius, kamera, tinklo saugykla, vaizdo įrašymo įrenginys ar kitas prie interneto prijungtas prietaisas gali tapti tarpine stotele. Per tokius įrenginius ataka atrodo lyg ateitų ne iš valstybės remiamos grupuotės infrastruktūros, o iš paprasto namų ar mažos įmonės tinklo. Tai apsunkina sekimą ir leidžia ilgiau slėpti tikrąjį veiklos šaltinį.
Jungtinės Karalystės Nacionalinis kibernetinio saugumo centras kartu su partneriais perspėjo, kad su Kinija siejami veikėjai naudoja paslėptus tinklus, sudarytus daugiausia iš pažeistų SOHO maršrutizatorių, bet į juos gali būti įtraukiami ir kiti pažeidžiami IoT įrenginiai, pavyzdžiui, kameros, vaizdo įrašymo įrenginiai, ugniasienės ar NAS įranga.
Todėl svarbiausia detalė čia ne „šaldytuvas“. Svarbiausia – silpnas, senas, neprižiūrimas įrenginys, kuris tyliai lieka prijungtas prie interneto ir niekam nebekelia klausimų.
Kodėl tokie įrenginiai nulaužiami lengviau nei kompiuteris
Namų kompiuterį ar telefoną žmonės dar bent kartais atnaujina. Maršrutizatorius dažnai pamirštamas dešimtmečiui: slaptažodis lieka gamyklinis, programinė įranga neatnaujinta, o pats įrenginys veikia tol, kol „dar yra internetas“.
Būtent tai ir daro jį patogų programišiams. NCSC nurodo, kad „KV Botnet“, naudotas „Volt Typhoon“ veikloje, daugiausia buvo sudarytas iš pažeidžiamų „Cisco“ ir „NetGear“ maršrutizatorių. Kitame pavyzdyje, „Raptor Train“ tinkle, minimi tūkstančiai SOHO maršrutizatorių ir IoT įrenginių.
JAV CISA paskelbtoje bendroje rekomendacijoje taip pat teigiama, kad šie paslėpti tinklai buvo naudojami Kinijos valstybės remiamų veikėjų, tarp jų „Volt Typhoon“, iš anksto paruošiant puolamąsias kibernetines galimybes prieš kritinę infrastruktūrą.
Tai reiškia, kad namų įrenginys nebūtinai yra galutinis taikinys. Jis gali būti naudojamas kaip durys, koridorius ar kaukė puolant visai kitą objektą.
Kodėl ši istorija siejama su Taivanu
JAV ir sąjungininkų perspėjimai apie „Volt Typhoon“ nėra nauji. Dar 2024 m. amerikiečių ir partnerių institucijos skelbė, kad ši grupuotė taikėsi į JAV kritinę infrastruktūrą: transportą, vandens sistemas, energetiką, ryšius ir kitas sritis. Tuo metu buvo akcentuojama, kad tokia veikla gali būti ne tik šnipinėjimas, bet ir pasirengimas sutrikdyti sistemas krizės atveju.
Todėl Taivano scenarijus šiame kontekste nėra atsitiktinė detalė. Jei kiltų karinis konfliktas dėl Taivano, JAV gebėjimas greitai reaguoti priklausytų ne tik nuo laivų ar lėktuvų, bet ir nuo uostų, elektros, ryšių, logistikos, kuro tiekimo ir valdymo sistemų. Kibernetinės atakos prieš tokias grandis galėtų sulėtinti atsaką be vieno šūvio.
„Financial Times“ ir kitų leidinių aprašyta nauja perspėjimų banga kalba apie dar vieną sluoksnį: atakoms slėpti ir vykdyti naudojami ne tik sudėtingi serveriai, bet ir kasdieniai vartotojų įrenginiai. „The Guardian“ apibendrino, kad Jungtinės Karalystės ir kitų šalių agentūros įspėjo apie Kinijos remiamų grupuočių naudojamus senus ar pažeidžiamus maršrutizatorius, spausdintuvus ir kameras, kurie padeda kurti paslėptus tinklus atakoms bei šnipinėjimui.
„Volt“, „Flax“ ir „Violet Typhoon“ – ne trys atsitiktiniai vardai
Vakarų kibernetinio saugumo bendruomenėje su Kinija siejamoms grupuotėms dažnai suteikiami pavadinimai su žodžiu „Typhoon“. Šioje istorijoje minimos „Volt Typhoon“, „Flax Typhoon“ ir „Violet Typhoon“ grupės. Jos siejamos su skirtingomis kampanijomis, bet bendras bruožas tas pats: siekis veikti paslėptai, naudoti teisėtai atrodančią infrastruktūrą ir apsunkinti priskyrimą konkrečiam užsakovui.
CISA ir partnerių medžiagoje aiškinama, kad tokie paslėpti tinklai leidžia veikti pigiai, mažesne rizika ir sunkiau atsekamu būdu. Per pažeistus įrenginius galima vykdyti žvalgybą, perduoti komandas, slėpti kenkėjišką srautą ar vogti duomenis.
Čia ir yra tikroji grėsmė: ne vienas nulaužtas prietaisas, o daugybė mažų, beveik nematomų mazgų, sujungtų į infrastruktūrą, kurią galima panaudoti tada, kai reikia.
Ką tai reiškia paprastam žmogui
Paprastas vartotojas greičiausiai nėra pagrindinis Kinijos žvalgybos taikinys. Tačiau jo įrenginys gali tapti dalimi tinklo, kuris naudojamas prieš kitus. Tai nemaloni, bet svarbi riba: jūsų maršrutizatorius gali būti pavojingas ne todėl, kad kažkas skaito jūsų žinutes, o todėl, kad per jį slepiama ataka prieš visai kitą auką.
Praktiškai tai reiškia kelis dalykus. Reikia pakeisti gamyklinius maršrutizatoriaus slaptažodžius, įjungti automatinius atnaujinimus, jei tokia galimybė yra, ir patikrinti, ar gamintojas dar apskritai palaiko įrenginį. Jei maršrutizatorius labai senas ir nebegauna saugumo pataisų, jis tampa ne tik lėto interneto, bet ir saugumo problema.
Taip pat verta peržiūrėti visus prie namų tinklo prijungtus įrenginius. Senos kameros, neaiškūs išmanieji priedai, nenaudojami įrenginiai su nuolatiniu interneto ryšiu neturėtų kabėti tinkle vien todėl, kad „gal kada prireiks“.
Esminė išvada
Ši istorija nėra apie tai, kad kiekvienas šaldytuvas staiga tapo šnipu. Ji apie tai, kad kibernetinėje erdvėje silpniausia grandis dažnai būna ne valstybės serveris, o senas maršrutizatorius ant spintelės.
Kinijos remiamų grupuočių taktika rodo, kad kasdieniai įrenginiai gali būti naudojami kaip priedanga didesnėms operacijoms. Todėl svarbiausias klausimas namuose ne „ar mano šaldytuvas mane seka“, o daug paprastesnis: kada paskutinį kartą buvo atnaujintas maršrutizatorius, kuris jungia visus jūsų įrenginius prie interneto.
