تصویرسازی: بن جونز
تصویرسازی: بن جونز

هک چینی‌ها بزرگ‌تر، بهتر و پنهان‌کارتر می‌شود

کارشناسان می‌گویند این اصلی‌ترین تغییر در چشم‌انداز تهدیدات سایبری در یک دهه گذشته است

نویسنده: اکونومیست تاریخ انتشار: 2025-03-25 12:27:52 GMT منتشر شده در: اکونومیست

قدرت چین هر ساله به سرعت در حال افزایش است. از کشتی‌های جنگی گرفته تا موشک‌ها، این کشور با سرعتی خارق‌العاده در حال تولید سخت‌افزار است. در دنیای نامرئی و آنلاین نیز، جهش‌های مشابهی در حال وقوع است. در تاریخ ۴ مارس، وزارت دادگستری آمریکا هشت تبعه چینی را به هک گسترده علیه سازمان‌های دولتی، رسانه‌های خبری و مخالفان در آمریکا و سراسر جهان، برای شرکت چینی «آی‌سون» (i-Soon) و به دستور دولت چین، متهم کرد. همچنین دو مقام رسمی را که گفته می‌شود «هک‌ها را هدایت کرده‌اند» تحت پیگرد قانونی قرار داد.

این موارد نوک کوه یخی عظیمی هستند. طی دهه گذشته، برنامه هک چین به سرعت رشد کرده است، تا جایی که در سال ۲۰۲۳، کریستوفر ری، مدیر وقت اف‌بی‌آی (FBI)، خاطرنشان کرد که این برنامه بزرگتر از مجموع برنامه‌های همه کشورهای بزرگ دیگر است. قدرت و پیچیدگی روزافزون چین در سه حوزه اصلی به موفقیت منجر شده است.

اولین حوزه، جاسوسی سیاسی است که عمدتاً به وزارت امنیت دولتی (MSS)، سرویس اطلاعات خارجی چین، مرتبط است. سال گذشته مشخص شد که یک گروه از هکرهای چینی، با نام مستعار «سالت تایفون» (Salt Typhoon)، حداقل به نه شرکت تلفن آمریکایی نفوذ کرده‌اند و به تماس‌ها و پیام‌های مقامات مهم دسترسی پیدا کرده‌اند. سیاران مارتین، که از سال ۲۰۱۶ تا ۲۰۲۰ ریاست آژانس دفاع سایبری بریتانیا را بر عهده داشت، این موضوع را با افشاگری‌های ادوارد اسنودن، پیمانکار دولتی، در سال ۲۰۱۳ مقایسه می‌کند که نشان داد آژانس‌های جاسوسی آمریکا در حال انجام جاسوسی سایبری در مقیاس وسیعی هستند. او می‌گوید چین «از طریق یک عملیات جاسوسی استراتژیک با جسارتی نفس‌گیر، در حال دسترسی گسترده به ارتباطات این کشور بود.»

حوزه دوم در زمینه‌هایی با ارزش جاسوسی اندک است: هک‌هایی که زمینه را برای خرابکاری در لحظات بحران یا جنگ فراهم می‌کنند. این تلاش‌ها توسط ارتش آزادی‌بخش خلق (PLA)، نیروهای مسلح چین، هدایت می‌شود. در سال ۲۰۲۳ مشخص شد که یک گروه هکری مرتبط با PLA معروف به «ولت تایفون» (Volt Typhoon)، طی چندین سال، به طیف خارق‌العاده‌ای از زیرساخت‌های حیاتی آمریکا، از بنادر گرفته تا کارخانه‌ها و تصفیه‌خانه‌های آب، در سراسر ایالات متحده و در سرزمین‌های استراتژیک آمریکا مانند گوآم نفوذ کرده است.

همه اینها بر پایه نوع سوم هک بنا شده است: سرقت مالکیت معنوی در مقیاس صنعتی. در سال ۲۰۱۳، شرکت اطلاعاتی تهدیدات سایبری «مندیانت» (Mandiant)، که اکنون بخشی از گوگل است، با افشای «apt1»، برچسبی برای گروهی از هکرهای مرتبط با PLA، سروصدا به پا کرد. apt1 بر سرقت اسرار سیاسی یا قطع کردن شبکه‌های برق متمرکز نبود، بلکه بر سرقت نقشه‌ها، فرآیندهای تولید و طرح‌های تجاری از شرکت‌های آمریکایی تمرکز داشت. یک سال بعد، دولت آمریکا اقدام بی‌سابقه کیفرخواست پنج هکر PLA را به دلیل این فعالیت انجام داد. کیث الکساندر، رئیس سابق آژانس امنیت ملی (NSA)، سرویس اطلاعات سیگنال آمریکا، این عمل را «بزرگترین انتقال ثروت در تاریخ» توصیف کرد.

آن دوره با یک آتش‌بس نسبی به پایان رسید. در سال ۲۰۱۵، باراک اوباما، رئیس‌جمهور وقت آمریکا، و شی جین‌پینگ، همتای چینی او، یک «تفاهم مشترک» را اعلام کردند. هیچ‌کدام از کشورها جاسوسی سایبری برای سرقت مالکیت معنوی انجام نخواهند داد. این توافق کارساز بود. اندکی پس از آن، جاسوسی تجاری از این نوع، اگرچه به طور موقت، به شدت کاهش یافت. اما این صرفاً آغاز دوره جدید جاسوسی سیاسی و خرابکاری بود.

همه این حوزه‌ها تحت تأثیر سه تغییر بزرگ در برنامه‌های هک چین قرار گرفته‌اند. یکی اینکه چه کسی هک را انجام می‌دهد. در سال‌های ۲۰۱۵-۲۰۱۶، اندکی پس از شوک ناشی از افشاگری‌های اسنودن، چین نیروهای سایبری خود را بازآرایی کرد. PLA مجبور به عقب‌نشینی شد و بر اطلاعات نظامی و شناسایی - مانند ولت تایفون - تمرکز کرد و فعالیت آن کاهش یافت. MSS جمع‌آوری اطلاعات سیاسی - مانند سالت تایفون - را بر عهده گرفت که با اشتیاق انجام می‌داد، و جاسوسی تجاری که در مقیاس کوچکتر ادامه یافت. تام اورن، نویسنده خبرنامه سایبری Risky Business می‌نویسد: «امروزه، MSS قدرت اصلی است.»

پیچیده‌تر و پنهان‌کارتر

دوم، هک چینی بهتر شد. حدود ۲۰ سال پیش، زمانی که شرکت‌های امنیت سایبری شروع به ردیابی این تهدید کردند، هکرهای چینی «بسیار، بسیار پرسروصدا» بودند، به گفته جان هالتکوئیست از مندیانت، «فوق‌العاده مایل به فعال کردن آلارم‌ها، فوق‌العاده مایل به دستگیر شدن». یک مقام اروپایی با این نظر موافق است. او می‌گوید حتی پنج سال پیش، «اپراتورهای سایبری چینی چندان پیچیده تلقی نمی‌شدند.» این وضعیت اکنون تغییر کرده است. این مقام می‌گوید: «سرعتی که آنها در آن بهبود می‌یابند همیشه برای غربی‌ها غافلگیرکننده به نظر می‌رسد، هرچند واقعاً نباید اینطور باشد.» «اگر چین بخواهد در حوزه‌ای شتاب بگیرد، این کار را خواهد کرد و افراد بسیار باهوشی دارد.»

این موضوع به تغییر سوم اشاره دارد. عملیات سایبری چین اکنون به طور فزاینده‌ای به یک اکوسیستم بزرگ و شکوفای بخش خصوصی متکی است که به خط لوله استعداد، توانمندساز و ضریب فزاینده‌ای برای عملیات سایبری چین در سراسر جهان تبدیل شده است. جام «تیانفو» (Tianfu Cup) مرتبط با MSS در شهر چنگدو در جنوب غربی (که به قطبی برای این نوع فعالیت تبدیل شده است) را در نظر بگیرید. این یکی از بسیاری از مسابقات «تسخیر پرچم» (Capture the Flag - CTF) است که در آن جوانان باهوش فناوری با یافتن و بهره‌برداری از آسیب‌پذیری‌ها در نرم‌افزار، مهارت هک خود را به نمایش می‌گذارند. طبق داده‌های جمع‌آوری شده توسط داکوتا کری، مشاور شرکت امنیت سایبری SentinelOne، و یوجنیو بنینکاسا از مرکز مطالعات امنیتی در ETH زوریخ، چین از سال ۲۰۰۴ حدود ۱۳۰ رویداد از این دست را میزبانی کرده است که بیشتر آنها پس از سال ۲۰۱۴ و بسیاری با حمایت وزارتخانه‌های دولتی بوده‌اند.

این رویدادها می‌توانند جمعیت زیادی را به خود جلب کنند. جام «وانگ‌دینگ» (Wangding Cup) توسط وزارت امنیت عمومی (MPS)، که نیروی پلیس کشور را اداره می‌کند و اطلاعات داخلی را جمع‌آوری می‌کند، سازماندهی می‌شود. به گفته آقای کری و آقای بنینکاسا، این جام به عنوان «المپیک امنیت سایبری» شناخته می‌شود و می‌تواند ۳۰,۰۰۰ نفر را جذب کند. این مسابقات زمینه‌های استعدادیابی برای جاسوسان چینی هستند. یک دهه پیش، هکرهای چینی اجازه داشتند به مسابقات خارج از کشور سفر کنند؛ اکنون این امر محدود شده است. به گفته فردی آشنا با این فرآیند، آسیب‌پذیری‌هایی که آنها کشف می‌کنند - نقاط ضعف در کد که می‌توان از آنها برای دسترسی استفاده کرد - «مستقیماً به دستگاه دولتی هدایت می‌شوند». در سال ۲۰۲۱، دولت شرکت فناوری «علی‌بابا کلود» (Alibaba Cloud) را به دلیل افشای یک آسیب‌پذیری بدون اطلاع قبلی به دولت، مجازات کرد.

مسابقات استعدادیابی تنها شروع ماجراست. سال گذشته، مجموعه‌ای از اسناد متعلق به شرکت «آی‌سون» (i-Soon) در اینترنت فاش شد. اسناد نشان می‌داد که این شرکت به عنوان یک آژانس خصوصی اطلاعات سیگنال فعالیت می‌کرده است که اهداف آن ۲۳ کشور را در بر می‌گرفت: کاخ ریاست جمهوری نپال، داده‌های نقشه‌برداری جاده‌ای از تایوان، گزارش‌های تلفنی کره جنوبی، سیستم‌های مهاجرت هند و سرویس اطلاعاتی تایلند. آی‌سون یکی از چندین شرکت مشابه در چنگدو است.

این شرکت‌ها نینجاهای غیرقابل توقف نیستند - فایل‌های فاش شده شواهدی از مشاجرات داخلی، عدم سازماندهی و شکست را نشان می‌دهند - اما به قدرت سایبری چین می‌افزایند. حتی در مواردی که هکرهای MSS خودشان هک را انجام می‌دهند، اغلب برای ابزارها و زیرساخت‌های لازم برای فعال کردن حملات خود، به این مناطق پشتیبان شرکتی متکی هستند. آقای هالتکوئیست می‌گوید، وقتی هکرهای چینی برای اولین بار شروع کردند، بدون پنهان‌کاری، «مستقیماً از شبکه‌های شانگهای» می‌آمدند. امروزه آنها از شبکه‌های جعبه رله عملیاتی استفاده می‌کنند که توسط شرکت‌های خصوصی ساخته و نگهداری می‌شوند و از دستگاه‌های به خطر افتاده در سراسر جهان، مانند روترهای اینترنت خانگی، برای پنهان کردن منشاء حملات استفاده می‌کنند.

آقای مارتین خاطرنشان می‌کند که مقیاس، پیچیدگی و تهاجم فزاینده هک چینی «تاکنون مهم‌ترین تغییر در چشم‌انداز تهدیدات سایبری در بیش از یک دهه گذشته» است. او هشدار می‌دهد که ولت و سالت تایفون، به تنهایی، «سازش‌های استراتژیک غرب در مقیاسی هستند که تاکنون توسط هیچ قدرت سایبری دیگری دیده نشده است.»

این هنوز یک جنگ سایبری تمام عیار نیست. آقای هالتکوئیست می‌گوید: «آنچه چین را از همتایان خود مانند روسیه، کره شمالی و ایران متمایز می‌کند»، این است که آن دولت‌ها به طور معمول از خط جاسوسی به اختلال، از جاسوسی و شناسایی به خرابکاری آشکار عبور می‌کنند. او می‌گوید چین «هرگز ماشه را نکشیده است». حتی در شبکه‌های زیرساختی آمریکا، چین از قرار دادن کد مخرب خودداری کرده است. «ما می‌توانیم ببینیم که آنها در حال شناسایی هستند. می‌توانیم ببینیم که در حال مستقر شدن هستند. آنها سلاح را به ما نشان نمی‌دهند.»

https://www.economist.com/china/2025/03/25/chinese-hacking-is-becoming-bigger-better-and-stealthier