Китайские агентства по кибербезопасности в понедельник опубликовали результаты расследования того, как правительство США и спецслужбы провели операцию под чужим флагом с целью «ввести в заблуждение и оскорбить другие страны», внедрив вредоносное программное обеспечение в американские IТ-устройства, предназначенные для установки в сетевую инфраструктуру других стран.
«Мы решили опубликовать этот отчёт с целью дальнейшего раскрытия информации о кибершпионских операциях, нацеленных на Китай, Германию и другие страны, которые были запущены правительством США, спецслужбами и странами Five Eyes nations» — говорится в отчёте, опубликованном совместно Национальным центром реагирования на компьютерные вирусы Китая, Национальной инженерной лабораторией по технологиям предотвращения компьютерных вирусов.
Отчёт «Volt Typhoon – III»: специалисты из подразделения операций по индивидуальному доступу внедряли бэкдор в сетевое оборудование, произведённое компанией Cisco и приобретённое организациями
Третий и последний отчёт «Операция «Volt Typhoon – III»: кампания кибершпионажа и дезинформации, проводимая правительственными агентствами США» (отчёт VT-III) оценивает «операцию «Volt Typhoon» как политический фарс, разыгранный правительством США. В нём также говорится, что правительственные учреждения США, ведущие СМИ и технологический гигант Microsoft хранили молчание по поводу двух предыдущих отчётов, опубликованных в апреле и июле, и только бывший сотрудник разведки США Роберт Эдвард Джойс и некоторые компании, занимающиеся кибербезопасностью, пытались оспорить и опровергнуть выводы, но избегали упоминания того, что было раскрыто в них, в попытке «исказить факты».
В феврале в совместном отчете Агентства кибербезопасности и защиты инфраструктуры США (CISA), Агентства национальной безопасности (NSA) и Федерального бюро расследований (ФБР) «Volt Typhoon» был назван спонсируемым китайским государством субъектом, который скомпрометировал и сохраняет постоянный доступ к критически важным ресурсам инфраструктуры США. На своем официальном сайте Microsoft сообщила, что "Volt Typhoon" действует с середины 2021 года и обычно фокусируется на шпионаже и сборе информации.
По данным китайских агентств по кибербезопасности, более 50 экспертов по кибербезопасности из США, Европы, Азии и других стран и регионов согласны с тем, что правительство США и Microsoft без каких-либо конкретных доказательств связали «Volt Typhoon» с правительством Китая, а также выразили обеспокоенность по поводу того, что правительство США сфабриковало «Volt Typhoon».
Кибер-хамелеон
В отчёте «Volt Typhoon – III» объясняется, как США придерживаются стратегии «Оборона на опережение» в киберпространстве и проводят операции «Охота на опережение» с целью развёртывания сил кибервойны вокруг стран-противников для проведения ближней разведки и проникновения в сети «Volt Typhoon».
Отчёт «Volt Typhoon – III»: исходный код «Marble»
Расследование показало, что спецслужбы США разработали специализированный «набор инструментов» под кодовым названием «Marble» для сокрытия своих операций по эксплуатации компьютерных сетей (CNE), введения в заблуждение при анализе атрибуции и возложения вины на другие страны.
В отчёте утверждается, что «набор инструментов» — это платформа, которую можно интегрировать с другими проектами по разработке кибер-оружия, помогая разработчикам скрывать различные идентифицируемые строки в программном коде, фактически «стирая» «отпечатки» разработчиков кибер-оружия, что аналогично изменению «нарезки» «огнестрельного оружия» и делает технически невозможным установить истинный источник кибер-оружия.
Кроме того, в ходе расследования было установлено, что в фреймворке «Marble» есть «грязная» функция, которая позволяет вставлять строки на других языках по желанию, например, на китайском, русском, корейском, персидском и арабском. «Это явно сделано для того, чтобы ввести следователей в заблуждение и опорочить Китай, Россию, Северную Корею, Иран и арабские страны», — говорится в отчёте.
Такого рода операции «под чужим флагом» не ограничиваются программированием, но также включают в себя имитацию тактики, методов и процедур (TTP) киберпреступных группировок. Таким образом, хакеры, работающие на кибервойска и спецслужбы США, могут маскироваться в киберпространстве как «хамелеоны», притворяясь, что находятся в других странах, чтобы проводить кибератаки и заниматься шпионажем по всему миру.
И операция «под чужим флагом» на самом деле является важным компонентом «эффективной операции» американской разведки, известной в Великобритании как «тайные онлайн-операции». Во внутренних документах США и альянса Five Eyes nations чётко указано, что реализация этой операции, базирующейся на достижении эффекта, должна соответствовать четырем принципам — отрицание, нарушение, деградация и обман. И эти четыре основных принципа в точности охватывают все ключевые элементы операции «Volt Typhoon».
Кибер-шпион
Во втором издании отчета, опубликованном в июле, китайские агентства по кибербезопасности сообщили, что правительственные учреждения США и, в частности разведывательные агентства, фабрикуют киберугрозы за рубежом, проводя операции по дезинформации в соответствии с разделом 702 Закона США о наблюдении за иностранной разведкой (FISA), который часто называют «законом о слежке без ордера». В докладе «Volt Typhoon – III» приводятся новые подробности о программах слежки.
Это говорит о том, что передовая интернет-инфраструктура США контролирует ключевые «узкие места» интернета, и существует по меньшей мере семь точек доступа для перехвата и мониторинга всех подводных оптоволоконных кабелей от Атлантического до Тихого океана.
Агентство национальной безопасности США запустило два соответствующих проекта: «UpStream» и «Prism». «UpStream» был разработан для хранения всех необработанных данных, перехваченных с подводных оптоволоконных кабелей, и создания огромного «хранилища данных» для последующей обработки. «Prism» расшифровывал данные и классифицировал их по различным интернет-приложениям, а затем пытался восстановить содержание сообщений.
Отчёт «Volt Typhoon – III»: две основные программы слежки, которыми управляет АНБ США
Оба проекта были санкционированы разделом 702 Закона о негласном наблюдении, который обеспечил правовую основу для глобальной слежки в интернете и стал фундаментом «Империи хакеров», согласно последнему отчёту. «Volt Typhoon – III» отмечает, что многие центры управления и контроля шпионских программ расположены на зарубежных военных базах США, в том числе в Японии, Южной Корее, на Гуаме и Гавайях.
Отчёт «Volt Typhoon –III»: Глобальная операция эксплуатации компьютерных сетей (CNE) Управления специального доступа Агентства национальной безопасности США
Это объясняет, почему Гуам, контролируемая США территория в Тихом океане, считается первоисточником ложного нарратива «Volt Typhoon», созданного правительством США. Таким образом, военная инфраструктура США на Гуаме — это не «жертва», а центр управления и контроля, который атакует Китай и многие страны Юго-Восточной Азии.
С разрешения раздела 702 Соединенные Штаты создали масштабную глобальную сеть интернет-наблюдения, распространив её на Францию, Германию, Японию и даже собственных граждан, участвовавших в протестах «Black Lives Matter» и «Occupy Wall Street».
Отчёт «Volt Typhoon –III»: Данные слежки АНБ США за лидерами Германии
Скрытая правда
В двух предыдущих отчётах китайских агентств по кибербезопасности о «Volt Typhoon» говорилось, что Microsoft расширила сотрудничество с военными и разведывательными службами США, и это сотрудничество усилилось в 2024 году.
Согласно отчёту Bloomberg от 7 мая, американский технологический гигант предоставил разведывательным службам США автономные версии своих моделей искусственного интеллекта и помощь в анализе строго засекреченной разведывательной информации.
В том же месяце компания Microsoft выпустила новое решение на основе ИИ и представила функцию «Воспоминание», которая позволяет операционной системе Windows записывать каждое действие пользователя и предоставлять эту информацию помощнику ИИ для обучения. В июне компания OpenAI, сотрудничающая с Microsoft, пригласила бывшего директора АНБ США Накасоне в свой совет директоров.
«Будучи важным партнёром в программах прослушивания телефонных разговоров по Разделу 702, Microsoft всё больше подвергается влиянию и манипуляциям со стороны американских спецслужб», — говорится в отчёте «Volt Typhoon – III». «В свою очередь, можно сказать, что правительственные учреждения США дали добро на злоупотребление Microsoft своим доминирующим положением на рынке и использование обновлений Windows и Office для объединения и продвижения программных продуктов таким образом, что это можно расценивать, как замаскированную форму монополии».
В отчёте «Volt Typhoon – III» подтверждается, что Китай последовательно выступает против политического вмешательства в технические расследования инцидентов, связанных с кибербезопасностью, и политизации вопроса о том, кто несёт ответственность за кибератаки, призывая к широкому международному сотрудничеству в области кибербезопасности.
В отчёте также рассматриваются два предыдущих исследования: «Volt Typhoon: заговорщическая мошенническая кампания, направленная против Конгресса США и налогоплательщиков, проводимая разведывательным сообществом США» и «Volt Typhoon – II: секретная дезинформационная кампания, направленная против Конгресса США и налогоплательщиков, проводимая правительственными агентствами США». В отчёте делается вывод, что заключение Вашингтона об этой кампании было разработано для защиты полномочий по массовой слежке без ордера по всему миру, а также политических и экономических интересов группы заинтересованных лиц.