Działania w cyberprzestrzeni nie zwalniają tempa. Zachodnie służby coraz częściej ujawniają działania grup hakerów łączonych z Chińską Republika Ludową. Władze mówią również więcej o zagrożeniu stwarzanym przez zdobywające rosnąca popularność chińskie aplikacje, a także samochody.
Do tej pory najbardziej znaną grupą hakerską łączoną z chińskim ministerstwem bezpieczeństwa państwowego, odpowiednikiem enerdowskiego Stasi czy peerelowskiej Służby Bezpieczeństwa, była APT31. Grupa jest odpowiedzialna za cyberataki wymierzone w polityków będących członkami Międzyparlamentarnego Sojuszu w sprawie Chin (IPAC), międzynarodowej sieci parlamentarzystów reprezentujących jastrzębie stanowisko w stosunku do ChRL, jak również w amerykańskie departamenty sprawiedliwości, handlu, stanu, skarbu, członków Kongresu, Akademię Marynarki Wojennej i Biały Dom.
W ostatnich dniach na czoło wysunęła się APT40, znana też pod takimi uroczymi nazwami jak Kryptonite Panda, Gingham Typhoon, Leviathan albo Bronze Mohawk. O działaniach grupy poinformował 9 lipca Australian Signals Directorate (ASD), australijska służba wywiadu elektronicznego. W dość ogólnikowej formie agencja ujawniła wyniki działań prowadzonych wspólnie z Wielką Brytanią, Stanami Zjednoczonymi, Nową Zelandią, Kanadą, Niemcami, Koreą Południową i Japonią.
Pierwszy raz prace nad międzynarodowym raportem w sprawie cyberbezpieczeństwa prowadziła Australia i pierwszy raz współpracowała z azjatyckimi sojusznikami. Sprawa jest tym ciekawsza, że Japonia ma duże problemy z ochroną kontrwywiadowczą i cyberbezpieczeństwem.
Wróćmy jednak do APT40. Grupa działa od początku roku 2017, wyspecjalizowała się w atakach na urządzenia brzegowe stosowane w mniejszych firmach i pracy zdalnej z domu. Powód jest prosty: sprzęt taki często nie ma najbardziej aktualnego oprogramowania lub nie jest już obsługiwany przez aktualizacje zabezpieczeń i łatwiej ukryć tam podejrzane działania. Łatwiej więc, włamując się do niego, uzyskać dostęp do wewnętrznych sieci i serwerów. ASD jako najbardziej narażone oprogramowanie wskazała Log4J, Atlassian Confluence i Microsoft Exchange.
Metody działania APT40 szybko ewoluują. Hakerzy aktywnie sprawdzają luki w zabezpieczeniach i jeśli tylko je znajdą, natychmiast wykorzystują. Grupa prowadzi regularne rozpoznanie potencjalnych celów, co pozwala zidentyfikować podatne na ataki, wycofane z eksploatacji lub nieobsługiwane już urządzenia w interesujących ją sieciach. Z drugiej strony, jeśli jakieś metody czy taktyka działania okazują się skuteczne, Chińczycy przywiązują się do nich i stosują bezrefleksyjnie. Tutaj objawia się słabość grupy. Zwykle po zdobyciu dostępu do sieci chińscy hakerzy koncentrują się na jego utrzymaniu. Regularność i uporczywość działań na tym etapie ułatwia wykrycie włamania i identyfikację napastnika.
ASD poinformował o dwóch udanych atakach przeciwko australijskim podmiotom, nie wymieniając ich z nazwy. W pierwszym przypadku hakerom udało się zdobyć uprzywilejowane dane uwierzytelniające. Tym sposobem oprócz dostępu do sieci uzyskali także możliwość odzyskania nieautoryzowanego dostępu, nawet jeśli pierwotna metoda logowania zostałaby zablokowana. W drugim przypadku Chińczycy wykryli i wykorzystali lukę w zabezpieczeniach portalu logowania zdalnego dostępu. Według australijskich służb z dostępu mogła korzystać nie tylko APT40, ale też inne grupy.
Brytyjska Centrala Łączności Rządowej (GCHQ) wskazuje na Chiny jako największe i stale rosnące zagrożenie. Służby Zjednoczonego Królestwa przeznaczają na walkę z chińskimi hakerami więcej środków niż na jakiekolwiek inne pojedyncze zadania. Z kolei Clare O’Neil, stojąca na czele departamentu spraw wewnętrznych i odpowiadająca w tej roli za cyberbezpieczeństwo, określiła cyberataki prowadzone przez inne rządy jako jedno z największych zagrożeń stojącymi przed Canberrą. Pod „innymi rządami” kryje się oczywiście nieświęta trójca: Chiny, Rosja i Korea Północna, chociaż swoje dokłada też Iran.
Podwykonawcy zewnętrzni
Struktury chińskiej bezpieki i wywiadu oparte są na wzorcach radzieckich. Poszczególne służby i ich lokalne struktury poza tym, że działają na wyznaczonych odcinkach (na przykład oddziały z Sinciangu „zajmują się” ujgurskimi emigrantami i ich pozostałymi w kraju rodzinami), także intensywnie między sobą rywalizują. Wraz z intensyfikacją działań w cyberprzestrzeni zaobserwowaną od czasu Covid-19 najwyraźniej zaczęło brakować mocy przerobowych, aby wypełnić wszystkie zadania stawiane przez centralę. Rozwiązaniem okazali się podwykonawcy zewnętrzni, firmy informatyczne powiązane z ministerstwami bezpieczeństwa państwowego i publicznego oraz z wojskiem.
Korzystanie z usług prywatnych podwykonawców nie jest niczym wyjątkowym. Wręcz przeciwnie – staje się coraz powszechniejsze. Wystarczy wspomnieć wszystkie afery z Pegasusem w roli głównej, nie tylko w Polsce. Korzystanie z usług podmiotów zewnętrznych ułatwia także wyparcie się związków ze sprawą w razie wpadki.
Gdy jednak dojdzie do wycieku, skutki nie różnią się niczym od afer z bezpośrednim udziałem służb państwowych. W lutym tego roku na portalu GitHub ujawniono 577 dokumentów wykradzionych z chińskiej hakerskiej firmy iS00N. Wśród znalazła się między innymi umowa z pekińskim Instytutem Numer 3 Ministerstwa Bezpieczeństwa Publicznego na „system zdalnego wyszukiwania dowodów” do wykorzystania w sieciach obsługiwanych przez China Unicom. Do tego doszły systemy wyszukiwania i analizy danych dla innych teleoperatorów, monitorowanie ministerstw państw NATO, Indonezji, Kazachstanu, Malezji, Tajlandii, Korei Południowej, Mongolii.
Za monitorowanie wskazanego adresu mailowego firma życzy sobie 125 tysięcy dolarów rocznie lub 300 tysięcy za trzy lata. Obroty są nie małe, jak jednak się okazuje, iS00N płaci swoim pracownikom mniej niż skromnie. Miesięczna stawka dla przeciętnego pracownika ma wynosić 2 tysiące juanów (niecałe 1100 złotych). Tak niskie stawki jak na branżę mogły zachęcić jednego z pracowników do ujawnienia dokumentów. Problem jest jednak głębszy. Praca na zlecenie państwa zapewnia bezkarność, ale żyć z czego trzeba. W ostatnich latach zaobserwowano w Chinach znaczny wzrost cyberprzestępstw. Problem, z jakim zmagają się władze, jest o tyle trudny, że wiele działań przestępczych prowadzonych jest przez chińskie syndykaty działające na terenie Kambodży czy pogrążonej w wojnie domowej Birmy.
bro only got paid 2000 RMB for his month of work pic.twitter.com/CJvKESh8Gk
— 安坂星海 Azaka || VTuber (@AzakaSekai_) February 19, 2024
Niebezpieczne aplikacje
To, co BigTechy robią z naszymi danymi, jest problemem, niezależnym od kraju pochodzenia firmy. Ale jak zwykle w przypadku Chin wszystko jest „bardziej”. Pekin dopiero w ciągu kilku ostatnich lat wprowadził odpowiednik RODO, starając się uregulować, w jaki sposób firmy technologiczne pozyskują dane użytkowników i co z nimi robią. Działania godne pochwały, gdzie zatem jest haczyk? Przedsiębiorstwa nadal są zobowiązane udostępniać wszelkie dane służbom, gdy te tylko tego zażądają.
Prokurator generalny stanu Arkansas Tim Griffin uruchomił 2 lipca postępowanie przeciwko internetowemu sprzedawcy Temu, który dzięki mocno zaniżonym cenom zdobywa rosnącą popularność w Europie i Ameryce.
– To, co robi Temu, to sprzedaż towarów po najniższej cenie, nie po to, by na nich zarabiać, ale jako sposób na dostanie się do telefonu, urządzenia i zbieranie danych – twierdzi Griffin. – Nie tylko tradycyjne dane konsumenckie, ale także wykorzystywanie złośliwego oprogramowania szpiegującego w celu uzyskania pełnego dostępu do informacji. I [idąc] o krok dalej, ich kod jest napisany w taki sposób, aby uniknąć wykrycia.
Zdaniem prokuratora takie praktyki naruszają kilka aktów prawnych Arkansas. Temu oczywiście odrzuca zarzuty.
Głównym celem ataków pozostaje jednak TikTok, uznawany za rosnące zagrożenie dla bezpieczeństwa narodowego nie tylko Stanów Zjednoczonych. Aplikacja była jednym z ulubionych celów filipik Donalda Trumpa, gdy ten rezydował w Białym Domu. Gdy jednak upowszechniła się wśród jego zwolenników i stała się istotnym elementem w kampanii wyborczej, Trump przestał domagać się jej zakazania.
Skoro o kampaniach wyborczych i TikToku mowa. Europejski niezależny think tank AI Forensics opublikował raport na temat roli aplikacji w kampanii wyborczej do Parlamentu Europejskiego. Partie radykalne i antysystemowe generalnie czują się w mediach społecznościowych jak ryba w wodzie, a szczególnie zadomowiły się na TikToku. W miesiącach poprzedzających wybory zwłaszcza skrajna prawica była wyraźnie forowana przez algorytmy aplikacji. Takie ustawienia można zaś według zespołu AI Forensics wprowadzić wyłącznie z wewnątrz. Badacze nie mają żadnych dowodów na jakiekolwiek porozumienie między TikTokiem a europejskimi radykałami. Taka umowa nie jest jednak potrzebna.
Przejdźmy do szczegółów. AI Forensics interesowała przede wszystkim Alternatywa dla Niemiec (AfD), partia, która w ciągu ostatnich kilku lat ze zdecydowanego krytyka stała się sympatykiem Pekinu. Szukając na TikToku informacji o partiach politycznych, użytkownik dostawał przede wszystkim sugestie dotyczące AfD, nieważne, czy chciał dowiedzieć czegoś na temat SPD, Zielonych czy CDU. Alternatywa była wyraźnie forowana przez algorytm. Podobną stronniczość zaobserwowano w innych państwach Unii Europejskiej, zwłaszcza Francji, Polsce i Włoszech.
Do tego około jednej trzeciej wyników dotyczyła teorii spiskowych, a także zwykłych plotek i pomówień. Sugerowane tytuły ewidentnie miały przyciągać uwagę, na przykład: „Olaf Scholz przyłapany w klubie” albo „Żona odchodzi od Habecka”. Żeby było jeszcze ciekawiej, po kliknięciu w link nie pojawiał się żaden materiał. Jeśli użytkownik poszukujący informacji na temat socjaldemokratów kanclerza Scholza przebrnął już przez materiały promujące AfD, mógł trafić na sugestię typu „biseksualna księżniczka”. W przypadku użytkowników zainteresowanych Zielonymi wicekanclerza Habecka, zwolennika twardego kursu wobec Rosji i Chin, pojawiało się na przykład „ostatnie ostrzeżenie Putina”.
Na tym nie koniec. Zespół AI Forensics nabrał podejrzeń, że TikTok stosuje doskonale znane z chińskiego internetu listy „zakazanych słów kluczy”. Część zapytań nie przynosiła żadnych wyników. Co ciekawe, sytuacja dotyczyła całego spektrum politycznego od AfD po skrajną lewicę. Na pytanie magazynu Wired o blokowanie pewnych wyników wyszukiwań TikTok odpowiedział, że jest „nieściśle zakładać”, by takie praktyki były stosowane. Dziennikarze oczywiście drążyli temat, dopytując, dlaczego niektóre wyszukiwania nie przynoszą wyników, nie uzyskali jednak odpowiedzi.
Do podobnych wniosków co AI Forensics doszła grupa śledcza Vsquare, aczkolwiek jej badania ograniczyły się do Europy Środkowo-Wschodniej. W całym regionie TikTok promował partie uznawane za skrajną prawicę. Takie ugrupowania zdominowały zresztą platformę. Towarzyszy temu rozpowszechnianie rosyjskiej propagandy i teorii spiskowych. TikTok oczywiście odrzuca zarzuty i twierdzi, że „dezinformacja jest stosunkowo rzadka na platformie”. Vsquare zauważa jeszcze jedną rzecz: głównym propagatorem rosyjskiej dezinformacji w Europie Środkowo-Wschodniej są węgierskie media państwowe.
Po drugiej stronie Atlantyku akcje dezinformacyjne dopiero się rozkręcają w związku z listopadowymi wyborami prezydenckimi. Google opublikował pod koniec czerwca dane na temat aktywności Dragon Bridge. To grupa wykorzystująca treści generowane przez „sztuczną inteligencję” do rozpowszechniania chińskiej propagandy. Grupie nie udowodniono bezpośrednich powiązań z ChRL, ale zamieszczane treści są skierowane głównie do osób chińskojęzycznych. Dopiero w ostatnim czasie grupa zaczęła publikować więcej po angielsku i w innych językach.
W ubiegłym roku cyfrowy gigant przerwał ponad 65 tysięcy działań podejmowanych przez Dragon Bridge na YouTubie i innych należących do niego platformach. W pierwszym kwartale tego roku zablokowano ponad 10 tysięcy akcji. Google mówi o pewnym spadku aktywności grupy po wyborach prezydenckich na Tajwanie, ale równocześnie ostrzega, że bardzo prawdopodobne jest przygotowanie przez nią zawczasu treści na listopadowe wybory. W trakcie poprzedniej amerykańskiej kampanii wyborczej Dragon Bridge publikował treści krytyczne wobec obu kandydatów. Natomiast podczas kampanii podczas wyborów uzupełniających do Kongresu grupa grała na pogłębienie podziałów w amerykańskim społeczeństwie.
Ryzykowne samochody
Nie tylko aplikacje mogą być źródłem ryzyka dla bezpieczeństwa.
– Samochód to bardzo przerażająca rzecz – tłumaczy odpowiadający w amerykańskim Departamencie Stanu za kontrolę eksportu Alan Estevez. – Twój samochód wie o tobie bardzo dużo. Twój samochód prawdopodobnie otrzymuje aktualizacje oprogramowania, niezależnie od tego, czy jest to pojazd elektryczny czy autonomiczny pojazd z silnikiem spalinowym. Nowoczesny samochód ma w sobie mnóstwo oprogramowania. Robi mnóstwo zdjęć. Ma system kierowania. Jest połączony z telefonem. Wie, do kogo dzwonisz. Wie, dokąd się udajesz. Wie o tobie bardzo dużo.
Z tego względu administracja Bidena pracuje nad regulacjami, które sprawią, że dostawcami oprogramowania stosowanego w nowoczesnych pojazdach będą jedynie firmy z USA i krajów sojuszniczych. To samo dotyczy zarządzanie pozyskiwanymi przez samochody danymi. Jako główny cel tych działań wskazywane są Chiny. Jest to pewna przesada. Chińskie firmy motoryzacyjne ze swoimi pojazdami elektrycznymi i autonomicznymi usiłują wejść na amerykański rynek, ale ich sukcesy są dużo mniejsze niż na przykład w Europie.
Problem nie dotyczy wyłącznie BYD i spółki. Już w roku 2019 Norwegia ograniczyła dostęp samochodów wyposażonych w systemy pozyskujące dane o swoim otoczeniu do szczególnie istotnych obiektów wojskowych, jak baza Ørland, gdzie stacjonują samoloty bojowe F-35A. Zaawansowane pojazdy, zwłaszcza te autonomiczne i stale podłączone do sieci, stają się kolejną możliwością dla wywiadu i przyczyną nowego bólu głowy dla kontrwywiadu.
Pekin oczywiście skrytykował plany Waszyngtonu, domagając się „przestrzegania praw gospodarki rynkowej i zasad uczciwej konkurencji” przez amerykańską administrację. Chińskie władze oczywiście pomijają, że same już wprowadziły analogiczne regulacje, a ich główną „ofiarą” była Tesla. Przy porównywaniu ryzyka stwarzanego przez samochody poszczególnych producentów trzeba pamiętać o jednym: mimo zależności od państwowych dotacji Elon Musk może otwarcie i bez konsekwencji krytykować, a nawet kontestować działania Waszyngtonu. Jego chińscy odpowiednicy, jeżeli chcą się utrzymać w branży, nie powinni nawet myśleć o stawianiu się decydentom z Zhongnanhai.
Kwestia samochodów to tylko element sprawy równie fundamentalnej dla Zachodu jak odbudowa zdolności produkcyjnych. Chodzi oczywiście o skuteczne przeciwstawianie się rosyjskim i chińskim operacjom hybrydowym i wywiadowczym. Sprawy szczególnie ważnej, jako że intensywność, skala i zasięg operacji państw autokratycznych stale rośnie. Jak już pisaliśmy, Chiny prowadzą u siebie zakrojoną na szeroką skalę kampanię uświadamiania ludzi na temat zagrożeń związanych z cyberbezpieczeństwem i szpiegostwem. Warto pomyśleć o czymś podobnym u nas, jednak bez popadania w charakterystyczną dla Pekinu paranoję i nadmiernego ograniczania praw obywatelskich.