ФБР ломает один ботнет — Пекин поднимает другой. Сеть Volt Typhoon выросла до 1500 заражённых устройств

Китайские операции против США всё чаще соединяют старые методы разведки с новыми инструментами: взломанные роутеры, фальшивые вакансии, соцсети и ChatGPT работают на одну задачу, сбор чувствительной информации и попытки влиять на общественные споры. Под прицел попадают не только обладатели допуска к секретным данным, но и обычные американцы.

Сразу несколько отчетов описали активность, связанную с китайскими структурами. Самая опасная часть касается ботнета, который эксперты связывают с группировкой Volt Typhoon. Ранее Volt Typhoon использовала скрытую сеть зараженных устройств, чтобы закрепляться в критической инфраструктуре США и заранее готовить площадку для возможных разрушительных атак.

В январе 2024 года ФБР заявило о ликвидации KV-botnet, в который входили сотни устаревших роутеров и других подключенных к интернету устройств. Вредоносная сеть состояла из четырех кластеров. KV применялся для скрытой передачи информации, а JDY помогал сканировать цели и вести разведку.

По данным Black Lotus Labs, исследовательского подразделения Lumen, кластер KV после операции правоохранителей почти перестал работать, но JDY остался активной угрозой. Сейчас в сеть входит более 1 500 взломанных роутеров и IoT-устройств.

Исследователи считают, что операторы JDY быстро ищут уязвимую инфраструктуру после публичного раскрытия новых брешей. Разведка сразу уходит APT-группам, связанным с Китаем, а интерес охватывает разные отрасли. Самыми заметными целями стали американские военные структуры и связанные с ними организации.

Black Lotus Labs отмечает, что JDY вырос с примерно 650 активных устройств в январе 2024 года до более чем 1 500. Ботнет больше не ограничивается несколькими моделями Cisco: среди зараженного оборудования нашли устройства Cisco, Araknis, Mimosa Networks, Ubiquiti, DrayTek, Hikvision и Linksys. Значительная часть узлов находится в США, что помогает операторам маскировать сканирование под обычный сетевой трафик.

JDY работает как централизованный сканер. Операторы управляют зараженной инфраструктурой через скрытые Tor-узлы, а устройства собирают сведения о сервисах, баннерах, TLS-сертификатах и потенциально уязвимых системах. По оценке исследователей, такая разведка помогает быстрее превращать свежие сведения об уязвимостях в реальные атаки.

Специалисты советуют компаниям внедрить рекомендации CISA и NCSC по снижению рисков от активности Volt Typhoon и защите от скрытых сетей из зараженных устройств, а также регулярно обновлять роутеры, межсетевые экраны и IoT-оборудование.

Отдельный блок связан с влиянием через ИИ. OpenAI сообщила о блокировке аккаунтов ChatGPT, которые, вероятно, работали из Китая и использовали модели компании для скрытых операций вокруг американской ИИ-инфраструктуры. Две выявленные группы не смогли собрать заметную живую аудиторию, но показали, какие темы пытаются продвигать операторы влияния.

Первая группа создавала с помощью ChatGPT посты и изображения для соцсетей. Авторы пытались связать строительство дата-центров и развитие ИИ с ростом спроса на электроэнергию, повышением цен и расходами обычных американских семей. Для правдоподобия публикации сопровождали ссылками на реальные новости о дата-центрах, а материалы размещали в X, предположительно через фейковые аккаунты.

В одном из запросов операторы просили ChatGPT подготовить комикс по мотивам публикации региональной газеты об аукционных ценах на мощности в энергосети. Комментарии должны были связывать рост пикового спроса с дата-центрами и ИИ-сервисами, а затем подводить читателя к выводу, что расходы в итоге переложат на домохозяйства.

OpenAI считает, что за кампанией могла стоять команда соцсетей из частной китайской технологической компании, которая обслуживает клиентов уровня провинциальных властей. По словам главного исследователя команды Intelligence and Investigations Бена Ниммо, спор о стоимости дата-центров уже существовал, а китайская операция пыталась вмешаться в обсуждение, но признаков успеха OpenAI не увидела.

Вторая заблокированная группа тоже, вероятно, работала из Китая. Аккаунты писали запросы на упрощенном китайском языке, подключались через VPN и просили ChatGPT готовить комментарии и политические карикатуры с критикой технологической политики США и пошлин. Операторы отдельно указывали, что в карикатурах не должен появляться Си Цзиньпин, а изображать нужно только президента Трампа.

Эти же аккаунты редактировали рабочие отчеты и просили помочь с проектированием систем мониторинга соцсетей. OpenAI уже фиксировала похожий интерес: компания блокировала аккаунты, которые использовали ChatGPT для подготовки системы слежки за публикациями в соцсетях, а позже сообщала о новых учетных записях, связанных, по данным исследователей, с китайскими государственными структурами.

Третья линия связана не с ИИ, а с вербовкой. Минюст США сообщил о получении ордера и изъятии 13 сайтов фиктивных консалтинговых компаний. Через эти площадки подозреваемые китайские операторы искали граждан США, включая действующих и бывших обладателей допуска к секретной информации.

Среди изъятых доменов Минюст назвал centrikglobalconsulting.com, rightinfoconsult.com, finnaclevesperconsulting.com, cydfconsulting.com, pulsewaveglobal.com, catalystglobalsolutions.com, thehorizzen.com, geoindopacific.com, gpf-ina.org, safesec-group.com, thetruthinfo.com, Vandercons.com и gulfpeace.org.

С ноября 2023 года сайты и связанные объявления в соцсетях, LinkedIn и на кадровых площадках предлагали работу консультантов, старших аналитиков и специалистов по международным отношениям. Следствие считает, что организаторы использовали вакансии для поиска людей с доступом к закрытой информации, давили на кандидатов и просили передавать конфиденциальные отчеты и сведения от внутренних источников.

В судебных документах говорится, что вербовщики склоняли кандидатов к передаче конфиденциальных и чувствительных данных с нарушением служебных обязанностей. Особый интерес, по версии следствия, представляли материалы, полезные правительству КНР.

Деньги за отчеты, по версии Минюста, переводили через онлайн-аккаунты на имена вымышленных людей и криптовалюту. Схема помогала скрывать личности участников и происхождение платежей.