كقراصنة برعاية الدولة من خلال العمل نيابة عن روسيا وإيران وكوريا الشمالية ، تسببت الهجمات الإلكترونية التخريبية في جميع أنحاء العالم لسنوات في إحداث الفوضى في جميع أنحاء العالم ، وقد حافظ المتسللون العسكريون والاستخباراتيون في الصين إلى حد كبير على سمعتهم في تقييد تدخلاتهم للتجسس. ولكن عندما تخترق تلك الجواسيس الإلكترونية البنية التحتية الحيوية في الولايات المتحدة – وعلى وجه التحديد منطقة أمريكية على أعتاب الصين – يبدأ كل من التجسس والتخطيط للطوارئ للصراع وتصعيد الحرب الإلكترونية في الظهور بشكل خطير.
كشفت شركة Microsoft يوم الأربعاء في منشور على مدونة أنها تعقبت مجموعة ممن تعتقد أنهم قراصنة صينيون ترعاهم الدولة والذين نفذوا منذ عام 2021 حملة اختراق واسعة النطاق استهدفت أنظمة البنية التحتية الحيوية في كل من الولايات المتحدة وغوام ، بما في ذلك الاتصالات ، التصنيع والمرافق والبناء والنقل.
قد تكون نوايا المجموعة ، التي أطلقت عليها Microsoft اسم Volt Typhoon ، مجرد تجسس ، بالنظر إلى أنه لا يبدو أنها استخدمت وصولها إلى تلك الشبكات الهامة لتنفيذ تدمير البيانات أو غيرها من الهجمات الهجومية. لكن مايكروسوفت تحذر من أن طبيعة استهداف المجموعة ، بما في ذلك في منطقة المحيط الهادئ التي قد تلعب دورًا رئيسيًا في نزاع عسكري أو دبلوماسي مع الصين ، قد تتيح هذا النوع من الاضطراب.
يقرأ منشور مدونة الشركة “السلوك المرصود يشير إلى أن الفاعل المهدد ينوي القيام بالتجسس والحفاظ على الوصول دون أن يتم اكتشافه لأطول فترة ممكنة”. لكنه يقرن هذا البيان بتقييم “بثقة معتدلة” بأن المتسللين “يسعون إلى تطوير القدرات التي يمكن أن تعطل البنية التحتية للاتصالات الحيوية بين الولايات المتحدة ومنطقة آسيا خلال الأزمات المستقبلية”.
تقول شركة Mandiant للأمن السيبراني المملوكة لشركة Google إنها تتبعت أيضًا مجموعة كبيرة من تدخلات المجموعة وتقدم تحذيرًا مشابهًا حول تركيز المجموعة على البنية التحتية الحيوية “لا يوجد اتصال واضح بالملكية الفكرية أو معلومات السياسة التي نتوقعها من عملية تجسس ،” يقول جون هولتكويست ، الذي يرأس استخبارات التهديد في Mandiant. “هذا يقودنا إلى التساؤل عما إذا كانوا هناك لأن الأهداف حاسمة. ما يقلقنا هو أن التركيز على البنية التحتية الحيوية هو التحضير لهجوم تخريبي أو مدمر محتمل “.
في منشور مدونة Microsoft ، عرضت تفاصيل تقنية عن تدخلات المتسللين التي قد تساعد المدافعين عن الشبكة على اكتشافهم وطردهم: على سبيل المثال ، تستخدم المجموعة أجهزة التوجيه والجدران النارية وأجهزة “الحافة” الأخرى للشبكة كوكلاء لإطلاق القرصنة الخاصة بها – تستهدف الأجهزة بما في ذلك تلك التي يبيعها صانعو الأجهزة ASUS و Cisco و D-Link و NETGEAR و Zyxel. غالبًا ما تستغل المجموعة أيضًا الوصول المقدم من الحسابات المخترقة للمستخدمين الشرعيين بدلاً من البرامج الضارة الخاصة بها لجعل نشاطها أكثر صعوبة من خلال الظهور بمظهر حميد.
يعتبر الاندماج مع حركة مرور الشبكة المنتظمة للهدف في محاولة لتجنب الاكتشاف سمة مميزة لنهج Volt Typhoon والممثلين الصينيين الآخرين في السنوات الأخيرة ، كما يقول مارك بورنارد ، كبير مستشاري أبحاث أمن المعلومات في Secureworks. مثل Microsoft و Mandiant ، كانت الشركة تتعقب المجموعة وتراقب الحملات. وأضاف أن المجموعة أظهرت “تركيزًا لا هوادة فيه على التكيف” لمتابعة تجسسها.