Според Министерството на отбраната (МО) на САЩ кибератаките на Китай срещу критичната инфраструктура вероятно са действие при непредвидени обстоятелства, целящо да спечели стратегическо предимство в случай на кинетична война.

Киберстратегията на ведомството до 2023 г., публикувана тази седмица, отбелязва ръст на държавно спонсорираните киберпрестъпления от Китайската народна република (КНР), по-специално срещу чувствителни цели, които биха могли да окажат влияние върху военния отговор, с цел „противодействие на конвенционалната военна мощ на САЩ и намаляване на бойните способности на обединените сили“.

Министерството на отбраната твърди в доклада, че КНР „представлява широка и широко разпространена заплаха от кибершпионаж“, като наблюдава лица извън границите си, краде технологични тайни и подкопава възможностите на военно-промишления комплекс. Агенцията предупреждава, че тази дейност надхвърля обичайното събиране на разузнавателна информация.

Според доклада „тази злонамерена кибернетична дейност дава информация за подготовката на КНР за война“. „В случай на конфликт КНР вероятно възнамерява да предприеме разрушителни кибератаки срещу  САЩ, за да възпрепятства военната мобилизация, да посее хаос и да отклони вниманието и ресурсите. Вероятно ще се стреми и към разрушаване на ключови мрежи, които дават възможност за проектиране на мощта на обединените сили в бойни действия.“

Все по-голямо внимание от страна на Китай към военното разграждане

Идеята, че кибернетичната дейност може да предвещава военни действия, повтаря оценките на Microsoft и други, направени по-рано тази година около атаките на „Волт Тайфун“. Подкрепяната от Пекин усъвършенствана постоянна заплаха (APT) влезе в националните вестници в САЩ през май, юни и юли с поредица от компромати, които бяха насочени към телекомуникационни мрежи; контрол на електроснабдяването и водоснабдяването; американски военни бази в страната и чужбина; и друга инфраструктура, чието нарушаване би затруднило реални военни операции.

Досега тези компромати не са засегнали оперативните технологии (ОТ), използвани от жертвите, но говорейки на Black Hat USA през август, директорът на CISA Джен Истърли предупреди, че китайското правителство вероятно се е поставило в позиция да извърши разрушителни атаки срещу американски тръбопроводи, железопътни линии и друга критична инфраструктура, ако САЩ се включат по време на потенциална инвазия в Тайван.

„Този APT се придвижва странично в средите, получавайки достъп до области, в които не би могъл да пребивава традиционно“, казва Блейк Бенсън, ръководител на киберпространството в ABS Group Consulting. „Освен тази банда работи усилено, за да прикрие следите си, като старателно изхвърля цялата извлечена памет и артефакти, което затруднява екипите по сигурността да определят нивото на проникване.“

Според Джон Галахър, вицепрезидент на Viakoo Labs във Viakoo, може да има и своеобразен антихалосен ефект, като се има предвид, че атаките с военна насоченост вероятно ще причинят съпътстващи щети на странични предприятия.

„На практика всички експлойти, стартирани от национални държави, се прехвърлят към недържавни участници в заплахи“, предупреждава той. „Това означава, че организациите, които зависят от системите на IoT/OT, в даден момент ще бъдат директни мишени на същите заплахи, които се пускат срещу националната критична инфраструктура.“

Защита на пространството за кибервойна

За да се бори с дейността на „Волт Тайфун“ и други заплахи за физическата безопасност в пространството на критичната инфраструктура, МО излага в доклада си усилия на „цялото правителство“, предназначени да „повишат устойчивостта и да затруднят противниците при нарушаването на основните услуги“.

В съответствие с Националната стратегия за киберсигурност до 2023 г. МО заяви, че ще използва „всички законно налични договорни механизми, ресурси и оперативни договорености, за да подобри киберсигурността на системите на критичната инфраструктура на САЩ“ и да разшири публично-частните партньорства. За тази цел в своя доклад то изложи няколко страници с действия за укрепване и готовност.

Пример за прост начин, по който правителството може да премине към изпреварващи действия, е стъпката на CISA да предложи безплатно сканиране на мрежовата сигурност и уязвимостите на водоснабдителните предприятия (PDF), за да помогне за идентифициране на пътищата за експлоатация и да ги предпази от кибератаки.

„По отношение на националната отбрана се наблюдава десетилетна еволюция в обема, скоростта и устойчивостта на киберзаплахите, която е свързана както с увеличените изчислителни възможности на IoT/OT и критичната инфраструктура, така и с повишената сложност на националните държавни заплахи“, предупреждава Галахър. „От Stuxnet през Volt Typhoon до настоящата война между Украйна и Русия (където и двете страни използват уязвими IoT/OT системи за предимство на бойното поле), това ще продължи в обозримо бъдеще.“

Той добавя: „Ето защо е от решаващо значение да продължим да подобряваме киберзащитата и (както е подчертано в акцентите на Киберстратегията на МО) да прекъснем усилията на противниците.“