Chińska grupa hakerska Salt Typhoon przeprowadziła w 2024 roku szeroko zakrojoną operację cyberszpiegowską, której celem była sieć Gwardii Narodowej jednego z amerykańskich stanów – ujawniła stacja NBC News. Hakerzy, powiązani z rządem ChRL, wykradli wrażliwe dane, w tym mapy, schematy sieciowe i informacje osobowe członków Gwardii. Atak, trwający od marca do grudnia 2024 roku, budzi obawy o bezpieczeństwo infrastruktury krytycznej USA, zwłaszcza w kontekście powiązań Gwardii z centrami fuzji w 14 stanach.
W lipcu 2025 roku stacja NBC News ujawniła szczegóły poważnego cyberataku na sieć Gwardii Narodowej jednego z amerykańskich stanów, przeprowadzonego przez chińską grupę hakerską Salt Typhoon. Z raportu Departamentu Bezpieczeństwa Krajowego (DHS), uzyskanego przez organizację non-profit Property of the People, wynika, że hakerzy przez blisko dziewięć miesięcy – od marca do grudnia 2024 roku – mieli dostęp do wrażliwych danych, takich jak mapy geograficzne, schematy sieciowe, dane logowania administratorów oraz informacje osobowe członków Gwardii.
Amerykańskie władze potwierdziły incydent, ale jego pełny zakres wciąż jest badany. Atak, będący częścią szerszej kampanii cyberszpiegowskiej, rodzi pytania o zdolność USA do ochrony kluczowej infrastruktury przed zaawansowanymi zagrożeniami.
Salt Typhoon, według amerykańskich służb, to zaawansowana grupa cyberszpiegowska działająca na zlecenie Ministerstwa Bezpieczeństwa Państwowego Chińskiej Republiki Ludowej (MSS). Znana z wyrafinowanych technik, takich jak stosowanie rootkitów Demodex i metod „living-off-the-land”, które utrudniają wykrycie, grupa koncentruje się na szpiegostwie i kradzieży danych z instytucji rządowych oraz infrastruktury krytycznej. Jak podaje Trend Micro, Salt Typhoon działa w zorganizowany sposób, z podziałem na zespoły odpowiedzialne za różne regiony i sektory, co świadczy o jej złożoności i strategicznym podejściu.
W 2024 roku Salt Typhoon zaatakowała nie tylko Gwardię Narodową, ale także dziewięć głównych amerykańskich firm telekomunikacyjnych, w tym AT&T, Verizon i T-Mobile, uzyskując dostęp do metadanych komunikacyjnych i podsłuchując rozmowy prominentnych polityków, takich jak prezydent-elekt Donald Trump i wiceprezydent-elekt J.D. Vance.
W styczniu 2025 roku Departament Skarbu USA nałożył sankcje na firmę z Syczuanu powiązaną z operacjami Salt Typhoon, co jednak nie zatrzymało aktywności grupy. Chińska ambasada w Waszyngtonie zaprzecza powiązaniom z hakerami, nazywając oskarżenia „bezpodstawnymi oszczerstwami”.
Co wykradli hakerzy?
Z raportu DHS, opartego na dochodzeniu Pentagonu, wynika, że Salt Typhoon „znacznie naruszyła” sieć Gwardii Narodowej jednego z amerykańskich stanów, uzyskując dostęp do kluczowych danych. Wśród wykradzionych informacji znalazły się:
- Dane logowania administratorów, umożliwiające dalsze włamania do powiązanych systemów.
- Diagramy ruchu sieciowego, ujawniające topologię infrastruktury Gwardii.
- Mapy lokalizacji geograficznych, wskazujące rozmieszczenie jednostek w całym stanie.
- Dane osobowe członków Gwardii, w tym informacje identyfikacyjne (PII).
Ponadto hakerzy uzyskali dostęp do „ruchu danych” między siecią zaatakowanego stanu a jednostkami Gwardii w każdym innym stanie USA oraz co najmniej czterech terytoriach zależnych. DHS ostrzega, że dane te mogą ułatwić kolejne ataki, w tym na inne jednostki Gwardii Narodowej i ich partnerów w zakresie cyberbezpieczeństwa. „Pozyskanie tych danych może zagrozić bezpieczeństwu lokalnej infrastruktury krytycznej” – podkreśla raport, wskazując na ryzyko dla systemów energetycznych, komunikacyjnych i transportowych.
Gwardia Narodowa potwierdza incydent, ale uspokaja
Rzecznik Biura Gwardii Narodowej (NGB) potwierdził dla NBC News, że atak miał miejsce, ale zapewnił, że nie wpłynął on na zdolność jednostki do realizacji misji stanowych i federalnych. „Nie możemy podać szczegółowych informacji na temat ataku lub naszej reakcji na niego, ale NGB nadal bada włamanie, aby określić jego pełny zakres” – stwierdził. Brak szczegółów technicznych budzi jednak obawy, że skala naruszenia może być większa, niż dotychczas ujawniono.
Amerykańskie służby, w tym FBI i Cybersecurity and Infrastructure Security Agency (CISA), współpracują z Gwardią Narodową w celu zbadania incydentu i wzmocnienia zabezpieczeń. W odpowiedzi na atak CISA wydała w grudniu 2024 roku wytyczne dotyczące ochrony infrastruktury telekomunikacyjnej, zalecając m.in. stosowanie silnego szyfrowania i wieloskładnikowego uwierzytelniania (MFA). Eksperci zauważają jednak, że Salt Typhoon jest trudny do wyeliminowania – w niektórych przypadkach hakerzy utrzymywali dostęp do zaatakowanych systemów nawet przez trzy lata.
Zagrożenie dla centrów fuzji i koordynacji informacji
Szczególnym powodem do niepokoju jest integracja jednostek Gwardii Narodowej z tzw. centrami fuzji, które działają w 14 stanach USA i odpowiadają za wymianę informacji o zagrożeniach, w tym cybernetycznych. Centra te, łączące wojsko, policję i lokalne władze, są kluczowe dla koordynacji działań w sytuacjach kryzysowych, takich jak klęski żywiołowe czy ataki terrorystyczne. Włamanie do sieci Gwardii mogło narazić na szwank dane dotyczące bezpieczeństwa tych centrów, co potencjalnie umożliwia hakerom planowanie dalszych ataków lub działań sabotażowych.
„Włamanie prawdopodobnie dostarczyło Pekinowi dane, które mogą ułatwić ataki na inne jednostki Gwardii Narodowej oraz ich partnerów w zakresie cyberbezpieczeństwa na poziomie stanowym” – ostrzega raport DHS. Wykradzione schematy sieciowe i dane administratorów mogą posłużyć do eksploatacji luk w zabezpieczeniach innych instytucji, w tym tych odpowiedzialnych za ochronę infrastruktury krytycznej, takiej jak elektrownie czy systemy wodociągowe.
Źródło: NBC News / Reuters
