جزئیات نفوذ سایبری هکر چینی «سالت تایفون» به گارد ملی آمریکا

بر اساس یک یادداشت داخلی از وزارت امنیت داخلی آمریکا (DHS) که در ماه ژوئن منتشر شد و یافته‌های وزارت دفاع (پنتاگون) رو توصیف می‌کرد، یک گروه هکری چینی که با نام مستعار «سالت تایفون» شناخته میشه، موفق شده بود برای مدت زمان قابل توجهی به شبکه گارد ملی ارتش یکی از ایالت‌های آمریکا نفوذ کنه. این یادداشت که توسط سازمان غیرانتفاعی شفافیت امنیت ملی به نام «پراپرتی آو د پیپل» از طریق درخواست آزادی اطلاعات به دست اومده و اولین بار توسط ان‌بی‌سی نیوز گزارش شد، نشون میده که این نفوذ تقریبا یک سال طول کشیده. به طور مشخص، این گروه از ماه مارس ۲۰۲۴ تا دسامبر همون سال، یعنی برای یک دوره نه ماهه، به صورت «گسترده» در شبکه این واحد گارد ملی حضور داشته. در این یادداشت نام ایالت مورد هدف مشخص نشده، اما تاکید شده که هکرها تونستن به اطلاعات بسیار حساسی دست پیدا کنن.

مقامات هنوز در حال بررسی هستن تا وسعت کامل داده‌هایی که به دست هکرها افتاده رو مشخص کنن، اما اطلاعات اولیه نشون میده که این گروه فراتر از چیزی که قبلا تصور می‌شد در شبکه‌ها نفوذ کرده و ممکنه به اطلاعات حساس نظامی یا اطلاعات مرتبط با اجرای قانون دسترسی پیدا کرده باشه. این نگرانی وجود داره که اطلاعات به سرقت رفته بتونه به عنوان پایه‌ای برای حملات بعدی علیه سایر واحدهای گارد ملی و شرکای امنیت سایبری اون‌ها در سراسر کشور مورد استفاده قرار بگیره.

وزارت دفاع در پاسخ به درخواست‌ها برای اظهار نظر سکوت کرده، اما سخنگوی دفتر گارد ملی (NGB) وقوع این نفوذ رو تایید کرده. این سخنگو ضمن خودداری از ارائه جزئیات بیشتر در مورد حمله یا نحوه پاسخ به اون، گفته:

در حالی که ما نمی‌تونیم جزئیات مشخصی در مورد حمله یا پاسخ خود به اون ارائه بدیم، می‌تونیم بگیم که این حمله مانع از انجام ماموریت‌های ایالتی یا فدرال محول شده به گارد ملی نشده و دفتر گارد ملی به تحقیقات برای تعیین دامنه کامل این نفوذ ادامه میده.

این بیانیه نشون میده که با وجود جدی بودن نفوذ، عملیات‌های روزمره گارد ملی مختل نشده، اما تحقیقات در مورد ابعاد پنهان این حمله همچنان ادامه داره.

جزئیات اطلاعات به سرقت رفته و اهمیت اون‌ها

بر اساس گزارش پنتاگون که در یادداشت وزارت امنیت داخلی به اون استناد شده، هکرهای سالت تایفون در طول حضور نه ماهه خودشون در شبکه گارد ملی، مجموعه‌ای از داده‌های حیاتی و استراتژیک رو به سرقت بردن. این داده‌ها فقط شامل اطلاعات داخلی اون واحد خاص نمیشده، بلکه اطلاعاتی رو در بر می‌گرفته که می‌تونه راه رو برای حملات آینده به شبکه‌های دیگه در سراسر آمریکا هموار کنه.

یکی از مهم‌ترین اطلاعاتی که به دست هکرها افتاده، مدارک هویتی مدیران (administrator credentials) شبکه بوده. این مدارک مثل کلیدهای اصلی یک ساختمان هستن و به هکرها این امکان رو میدن که کنترل کاملی روی شبکه به دست بیارن، حساب‌های کاربری جدید ایجاد کنن، به داده‌های حساس دسترسی پیدا کنن و حتی مسیرهای حرکت خودشون رو در شبکه پنهان کنن. به گفته آژانس امنیت سایبری و زیرساخت (CISA) و آژانس امنیت ملی (NSA)، داشتن این مدارک به هکرها اجازه میده تا دست به «دستکاری حساب مدیر» و «حرکت جانبی» بین شبکه‌های مختلف بزنن. این یعنی اون‌ها می‌تونن از یک شبکه به عنوان سکوی پرتاب برای نفوذ به شبکه‌های دیگه استفاده کنن.

مورد بعدی، نمودارهای دقیق شبکه (network diagrams) و فایل‌های پیکربندی شبکه (network configuration files) بوده. این اسناد مثل نقشه معماری داخلی یک سیستم عمل می‌کنن و به هکرها نشون میدن که شبکه چطور طراحی شده، چه دستگاه‌هایی به هم متصل هستن و نقاط ضعف احتمالی کجا قرار دارن. با در اختیار داشتن این نقشه‌ها، گروه سالت تایفون می‌تونه حملات بعدی خودش رو با دقت و کارایی بسیار بیشتری طراحی و اجرا کنه. این اطلاعات به اون‌ها کمک می‌کنه تا بدون نیاز به آزمون و خطا، مستقیم به سراغ اهداف کلیدی برن.

هکرها همچنین نقشه‌ای از موقعیت‌های جغرافیایی در سراسر ایالت مورد هدف و داده‌های ترافیک شبکه با شبکه‌های همتای خودشون در «تمام ایالت‌های دیگر آمریکا و حداقل چهار قلمرو آمریکایی» رو استخراج کردن. این یعنی گروه نه تنها به اطلاعات یک ایالت، بلکه به داده‌های ارتباطی بین این واحد و تمام واحدهای دیگه گارد ملی در سراسر کشور دسترسی پیدا کرده. این حجم از اطلاعات می‌تونه تصویری جامع از نحوه ارتباطات و هماهنگی‌های داخلی گارد ملی در اختیار هکرها قرار بده.

علاوه بر این‌ها، اطلاعات شناسایی شخصی (PII) اعضای گارد ملی هم به سرقت رفته. این داده‌ها می‌تونه شامل نام، آدرس، شماره تماس و سایر اطلاعات شخصی سربازان باشه. این نوع اطلاعات علاوه بر اینکه حریم خصوصی افراد رو نقض می‌کنه، می‌تونه برای اهداف جاسوسی آینده مثل شناسایی افراد کلیدی، مکان‌های کاری اون‌ها و حتی تلاش برای هدف قرار دادن مستقیم اون‌ها از طریق مهندسی اجتماعی یا روش‌های دیگه مورد استفاده قرار بگیره.

یادداشت وزارت امنیت داخلی هشدار میده که این نفوذ «به احتمال زیاد داده‌هایی رو در اختیار پکن قرار داده که می‌تونه هک کردن واحدهای گارد ملی ارتش ایالت‌های دیگر و احتمالا بسیاری از شرکای امنیت سایبری سطح ایالتی اون‌ها رو تسهیل کنه». این یعنی خطر فقط محدود به یک ایالت نیست و این حمله می‌تونه یک اثر دومینویی در سراسر کشور ایجاد کنه.

گروه هکری سالت تایفون: پیشینه و تاکتیک‌ها

گروه «سالت تایفون» که مسئول این نفوذ معرفی شده، حتی در میان گروه‌های جاسوسی سایبری متعدد چین هم یک گروه بدنام و شناخته شده به حساب میاد. شهرت اصلی این گروه به خاطر توانایی منحصر به فردش در «پریدن از یک سازمان به سازمان دیگه» هست. اون‌ها به جای تمرکز روی یک هدف، از دسترسی خودشون به یک شبکه برای نفوذ به شبکه‌های متصل و شرکای اون استفاده می‌کنن که این کار ردیابی و مقابله با اون‌ها رو بسیار دشوار می‌کنه.

این گروه پیش از این هم مسئولیت یکی از گسترده‌ترین کمپین‌های جاسوسی سایبری علیه آمریکا رو بر عهده داشته. سال گذشته، مقامات آمریکایی کشف کردن که سالت تایفون به شبکه حداقل هشت شرکت بزرگ اینترنتی و تلفنی کشور، از جمله شرکت‌های غول‌آسایی مثل AT&T و Verizon نفوذ کرده. هدف از این نفوذ، جاسوسی از تماس‌ها و پیامک‌های افراد و نهادهای مهم بوده. بر اساس گزارش‌ها، این گروه از دسترسی خودش برای جاسوسی از کمپین‌های انتخاباتی ریاست جمهوری هر دو نامزد، یعنی کامالا هریس و دونالد ترامپ، و همچنین دفتر چاک شومر که در اون زمان رهبر اکثریت سنا بود، استفاده کرده.

مقامات آمریکایی معتقدن که گروه سالت تایفون به وزارت امنیت دولتی چین (MSS) وابسته هست. در همین راستا، در ماه ژانویه، وزارت خزانه‌داری آمریکا یک شرکت مستقر در سیچوان چین رو به دلیل کمک به وزارت امنیت دولتی در اجرای عملیات‌های سالت تایفون تحریم کرد. این اقدام نشون میده که نهادهای آمریکایی این گروه رو به عنوان بخشی از دستگاه دولتی چین می‌شناسن.

یکی از ویژگی‌های نگران‌کننده سالت تایفون، پایداری و سرسختی اون‌ها پس از نفوذ به یک شبکه هست. ریشه‌کن کردن این گروه از یک سیستم آلوده بسیار دشواره. برای نمونه، در مورد نفوذ به شرکت AT&T، این شرکت در ماه دسامبر اعلام کرد که به نظر می‌رسه دیگه تحت تاثیر این حمله نیست و شرکت Verizon هم در ماه ژانویه اعلام کرد که حادثه رو «مهار کرده». با این حال، هر دو شرکت از گفتن اینکه به طور کامل از بازگشت هکرها محافظت شدن، خودداری کردن. این نشون از پیچیدگی و عمق نفوذ این گروه داره. گزارشی از شرکت سیسکو (Cisco) حتی نشون میده که در یک مورد، هکرهای سالت تایفون تونستن تا سه سال در یک محیط آلوده باقی بمونن بدون اینکه شناسایی بشن.

علاوه بر این‌ها، گزارش‌های جدیدتر از شرکت امنیت سایبری «ریکوردد فیوچر» (Recorded Future Inc.) که در ماه جولای ۲۰۲۵ به مشتریانش ارسال شده، حاکی از اینه که فعالیت‌های سالت تایفون همچنان ادامه داره. بر اساس این گزارش، گروه از ماه فوریه به بعد دستگاه‌های مرتبط با هفت شرکت مخابراتی در سراسر جهان رو هک کرده. این شرکت‌ها شامل کمپانی آمریکایی کامکست (Comcast Corp.)، گروه ام‌تی‌ان (MTN Group Ltd.) در آفریقای جنوبی و ال‌جی یوپلاس (LG Uplus Corp.) در کره جنوبی میشن. این نشون میده که تمرکز اصلی این گروه روی زیرساخت‌های مخابراتی جهانی همچنان پابرجاست.

نام «تایفون» که در اسم این گروه و گروه‌های مشابه دیگه مثل «ولت تایفون» دیده میشه، از یک قرارداد نام‌گذاری شرکت مایکروسافت برای شناسایی بازیگران سایبری مرتبط با پکن میاد. این نام‌گذاری به تحلیلگران کمک می‌کنه تا گروه‌های مختلف رو بر اساس وابستگی‌های احتمالی اون‌ها دسته‌بندی کنن.

واکنش چین و دیدگاه کارشناسان

در واکنش به این اتهامات، سخنگوی سفارت چین در واشنگتن به طور مستقیم این کمپین رو انکار نکرد، اما گفت که آمریکا نتونسته ثابت کنه که چین پشت حملات سالت تایفون قرار داره. این سخنگو گفت: «حملات سایبری یک تهدید مشترکه که همه کشورها، از جمله چین، با اون روبرو هستن.» او اضافه کرد که آمریکا «نتونسته شواهد قطعی و قابل اعتمادی ارائه بده که نشون بده «سالت تایفون» به دولت چین مرتبطه.» این موضع‌گیری، یک الگوی رایج در پاسخ به اتهامات سایبری هست که در اون، کشور متهم به جای انکار کامل، بر فقدان شواهد کافی تاکید می‌کنه.

از سوی دیگه، کارشناسان امنیت سایبری این نفوذ رو یک «تشدید جدی» در حوزه سایبری و یک رویداد بسیار نگران‌کننده توصیف کردن.

افشای اینکه سالت تایفون برای نزدیک به یک سال به شبکه گارد ملی آمریکا دسترسی داشته، یک تشدید جدی در حوزه سایبریه. این فقط یک نفوذ فرصت‌طلبانه نیست. این نشون‌دهنده یک جاسوسی عمدی و بلندمدته که برای استخراج بی‌سروصدای اطلاعات استراتژیک طراحی شده. حضور پایدار این گروه نشون میده که اون‌ها فقط به دنبال سرقت فایل‌ها نبودن، بلکه به احتمال زیاد در حال نقشه‌برداری از زیرساخت‌ها، نظارت بر جریان ارتباطات و شناسایی نقاط ضعف قابل بهره‌برداری برای استفاده در آینده بودن. چیزی که عمیقا نگران‌کننده‌ست اینه که این فعالیت برای مدت طولانی در یک محیط نظامی شناسایی نشده. این موضوع سوالاتی رو در مورد شکاف‌های دید، سیاست‌های بخش‌بندی و قابلیت‌های شناسایی در شبکه‌های دفاعی ترکیبی فدرال-ایالتی ایجاد می‌کنه.

انسار سکر، مدیر ارشد امنیت اطلاعات (CISO) در شرکت «ساک‌رادار» (SOCRadar)

سکر همچنین تاکید می‌کنه که این اتفاق یادآوری دیگه‌ای هست که بازیگران تهدید پیشرفته و پایدار (APT) مثل سالت تایفون نه تنها سازمان‌های فدرال، بلکه اجزای سطح ایالتی رو هم هدف قرار میدن، جایی که وضعیت امنیتی ممکنه متنوع‌تر و ضعیف‌تر باشه.

در دورانی که ما اغلب فریب می‌خوریم و فکر می‌کنیم جرایم سایبری یعنی کسی به ما بگه که جلسه هیئت منصفه رو از دست دادیم یا عزیزانمون رو متقاعد به یک رابطه عاشقانه از راه دور کنه، گاهی فراموش می‌کنیم که این چیزی فراتر از یک بازیه و در سطح دولت-ملت انجام میشه. جرایم سایبری خطرات واقعی برای مردم واقعی و دولت‌های واقعی داره. گروه‌های تایفون، چندین گروه جرایم سایبری مختلف که گفته میشه تحت حمایت چین هستن و نام «تایفون» رو به عنوان بخشی از اسمشون دارن، به پنهان‌کاری و کارایی بالا معروفن. با اینکه این حمله در سطح ایالتی و علیه گارد ملی بوده، اما نشون میده که حتی نیروهای نظامی ما هم در معرض خطر این گروه‌های جرایم سایبری هستن. این گروه‌های جنایتکار باید جدی گرفته بشن، و این یعنی همه، از رهبران ارشد دولتی گرفته تا شهروندان عادی، باید حداقل تا حدی از تهدیدها، نحوه شناسایی اون‌ها و اینکه به چه کسی باید گزارش بدن، آگاه باشن.

اریک کرون، یک کارشناس آگاهی‌بخشی امنیتی در شرکت «نو بی فور» (KnowBe4)

نفوذ سالت تایفون به گارد ملی آمریکا یک رویداد قابل توجهه و به طور بالقوه تهدیدی جدی برای بسیاری از سیستم‌های وزارت دفاع به حساب میاد. از این به بعد، تمام نیروهای آمریکایی باید فرض کنن که شبکه‌هاشون در معرض خطر قرار گرفته و تضعیف خواهد شد.

گری بارلت، یک عضو سابق گارد ملی هوایی و مدیر ارشد اطلاعات سابق در خدمات پستی آمریکا که حالا مدیر ارشد فناوری بخش عمومی در شرکت امنیت رایانش ابری «ایلومینو» (Illumino)

این دیدگاه نشون‌دهنده عمق نگرانی در مورد توانایی هکرها برای باقی موندن در شبکه‌ها و آسیب رسوندن به اون‌ها در آینده هست.

پیامدهای گسترده‌تر: از مراکز تلفیقی تا زیرساخت‌های حیاتی

نفوذ به شبکه گارد ملی فقط به خود این نهاد نظامی محدود نمیشه و می‌تونه پیامدهای گسترده‌تری برای امنیت سایبری در سطح محلی و ملی داشته باشه. ساختار گارد ملی به گونه‌ای هست که واحدهای اون علاوه بر اینکه بخشی از وزارت دفاع هستن، تحت اختیار ایالت‌های خودشون هم قرار دارن. این ماهیت دوگانه باعث میشه که این واحدها عمیقا با دولت‌های محلی یا نهادهای اجرای قانون ادغام شده باشن.

این ادغام، به خصوص در زمینه به اشتراک‌گذاری اطلاعات، بسیار مهمه. یادداشت وزارت امنیت داخلی اشاره می‌کنه که در حدود ۱۴ ایالت آمریکا، واحدهای گارد ملی ارتش با مراکز تلفیقی (fusion centers) ایالتی همکاری می‌کنن. این مراکز، هاب‌های اطلاعاتی محلی هستن که پرسنل و اطلاعات رو از سازمان‌های فدرال و همچنین دولت‌های ایالتی و محلی گرد هم میارن تا اطلاعات مربوط به تهدیدها، از جمله تهدیدهای سایبری، رو به اشتراک بذارن. دسترسی هکرهای سالت تایفون به شبکه‌های گارد ملی در این ایالت‌ها می‌تونه به معنای دسترسی به اطلاعات مربوط به وضعیت دفاع سایبری ایالت، اطلاعات شخصی و مکان‌های کاری پرسنل امنیت سایبری و در نهایت تضعیف تلاش‌های محلی برای محافظت از زیرساخت‌های حیاتی باشه.

یادداشت وزارت امنیت داخلی هشدار میده که «موفقیت سالت تایفون در نفوذ به شبکه‌های گارد ملی ارتش ایالت‌ها در سراسر کشور می‌تونه تلاش‌های امنیت سایبری محلی برای محافظت از زیرساخت‌های حیاتی رو تضعیف کنه.» این یادداشت اضافه می‌کنه که حداقل در یک ایالت، واحد گارد ملی ارتش به طور مستقیم خدمات دفاع شبکه رو ارائه میده. اگر هکرها به چنین شبکه‌ای نفوذ کرده باشن، می‌تونن توانایی اون ایالت برای دفاع از زیرساخت‌های حیاتی خودش در برابر کمپین‌های سایبری چین رو در صورت وقوع یک بحران یا درگیری، فلج کنن.

یک نکته قابل توجه دیگه اینه که در سال ۲۰۲۲، گارد ملی یک قرارداد ۱۵ میلیون دلاری با شرکت AT&T برای مدرن‌سازی گاردنت (GuardNet) امضا کرد. گاردنت شبکه داخلی هست که به سربازان گارد ارتش امکان دسترسی به اینترنت و پلتفرم‌های دیگه رو میده. با توجه به اینکه AT&T یکی از شرکت‌های مخابراتی هست که قبلا توسط سالت تایفون هک شده، این سوال مطرح میشه که آیا ممکنه از اجزای گاردنت به عنوان مسیری برای این نفوذ استفاده شده باشه یا نه، هرچند هنوز مشخص نیست که آیا ارتباطی بین این دو موضوع وجود داره یا خیر.

زمینه وسیع‌تر: اکوسیستم هک چینی و تکامل تاکتیک‌ها

حمله سالت تایفون به گارد ملی در یک خلا اتفاق نیفتاده، بلکه بخشی از یک استراتژی هک بزرگ‌تر، پیچیده‌تر و تهاجمی‌تر از سوی چین هست. بر اساس گزارش واشنگتن پست و مصاحبه با هفت مقام فعلی و سابق آمریکایی، هکرهای چینی بدون اینکه تحت تاثیر کیفرخواست‌ها و محکومیت‌های اخیر قرار بگیرن، در حال هدف قرار دادن طیف وسیع‌تری از اهداف هستن و برای باقی موندن در شبکه‌ها پس از شناسایی، سخت‌تر مبارزه می‌کنن.

داده‌های شرکت امنیتی «کراد استرایک» (CrowdStrike) نشون میده که تعداد هک‌های شناسایی شده از سوی بازیگران مظنون به ارتباط با دولت چین، از سال ۲۰۲۳ تا سال گذشته بیش از دو برابر شده و به بیش از ۳۳۰ مورد رسیده و با روی کار اومدن دولت جدید هم به افزایش خودش ادامه داده. داکوتا کری، کارشناس مسائل چین در شرکت امنیتی «سنتینل‌وان» (SentinelOne) میگه: «آمریکا قطعا با جدی‌ترین هک چینی تاریخ روبرو هست. ما در عصر طلایی هک چین قرار داریم.»

به گفته مقامات و محققان، یکی از دلایل این افزایش فعالیت، تغییر در رویکرد پکن هست. در گذشته، سازمان‌های اطلاعاتی، نظامی و امنیتی چین اهداف رو انتخاب می‌کردن و کارمندان خودشون رو مامور نفوذ می‌کردن. اما حالا دولت چین یک رویکرد تهاجمی‌تر رو در پیش گرفته و به شرکت‌های خصوصی اجازه میده تا حملات سایبری و کمپین‌های هک رو به طور مستقل انجام بدن. این مدل که به «هک در ازای استخدام» (hacking-for-hire) معروفه، به این صورته که این شرکت‌ها هکرهای برتر رو استخدام می‌کنن تا آسیب‌پذیری‌های قبلا ناشناخته یا «روز صفر» (zero-day) رو در نرم‌افزارهایی که به طور گسترده در آمریکا استفاده میشن، پیدا کنن. بعد از اون، شرکت‌ها جستجو می‌کنن تا ببینن این برنامه‌های آسیب‌پذیر کجا نصب شدن، تعداد زیادی از اون‌ها رو به یکباره هک می‌کنن و سپس دسترسی به این شبکه‌ها رو به چندین مشتری دولتی چینی و شرکت‌های امنیتی دیگه می‌فروشن. یک مقام اف‌بی‌آی در این باره میگه این رویکرد به جای چند قربانی، صدها قربانی ایجاد می‌کنه و کار رو برای مسدود کردن حملات و تشخیص اینکه کدوم هدف اصلی چین بوده، بسیار سخت می‌کنه.

این تغییر رویکرد باعث شده که ابزارهای بازدارنده قدیمی مثل کیفرخواست‌های عمومی و تحریم‌ها، تاثیرگذاری سابق رو نداشته باشن. لورا گالانته، یکی از مدیران شرکت «وست‌اگزک ادوایزرز» و مقام ارشد اطلاعاتی تهدیدات سایبری آمریکا در دوران دولت بایدن، میگه: «فضای سایبری جاییه که اعتماد به نفس چین و رئیس جمهور شی جین پینگ به طور کامل به نمایش گذاشته شده. این حوزه‌ایه که چین مایل بوده ریسک سیاسی زیادی رو با آمریکا بپذیره.»

علاوه بر این مدل جدید، هکرهای چینی در پنهان کردن خودشون هم استاد شدن. اون‌ها می‌تونن به صورت ناشناس در شبکه‌هایی از دستگاه‌های هک شده در داخل آمریکا حرکت کنن، به طوری که اتصال نهایی به یک هدف، مثل یک اتصال داخلی معمولی به نظر برسه. این کار باعث میشه که ابزارهای امنیتی که لینک‌های خارجی رو مسدود می‌کنن، دور زده بشن و فعالیت اون‌ها خارج از حوزه نظارتی آژانس امنیت ملی (NSA) قرار بگیره که به طور قانونی باید از بررسی اکثر ارتباطات داخلی خودداری کنه.

افشای فایل‌های شرکت «آی-سون» (iSoon)، یک پیمانکار امنیتی که با ارتش چین، وزارتخانه‌های ملی و پلیس محلی کار می‌کنه، در سال گذشته جزئیات بیشتری از این اکوسیستم رو روشن کرد. این فایل‌ها شامل قراردادها و اهدافی در ۲۰ کشور، از جمله داده‌های مهاجرت هند، گزارش تماس‌ها در کره جنوبی و اطلاعات دقیق جاده‌ها در تایوان بود. همچنین قیمت برخی خدمات، مثل ۲۵ هزار دلار برای دسترسی از راه دور به یک آیفون، در این اسناد ذکر شده بود.

سایر گروه‌های تایفون و اهداف اون‌ها

علاوه بر سالت تایفون، حداقل دو گروه بزرگ دیگه با نام «تایفون» وجود دارن که هر کدوم اهداف و روش‌های خاص خودشون رو دارن.

گروه ولت تایفون (Volt Typhoon) که مقامات آمریکایی اون رو به ارتش آزادی‌بخش خلق چین (PLA) مرتبط می‌دونن، نگرانی‌های جدی‌ای رو برای مقامات امنیت ملی ایجاد کرده. این گروه به جای جاسوسی، بر روی نفوذ به زیرساخت‌های حیاتی مثل تاسیسات برق و آب تمرکز کرده؛ اهدافی که ارزش جاسوسی چندانی ندارن. رهبران اطلاعاتی آمریکا و اعضای کنگره به این نتیجه رسیدن که هدف این گروه، آماده شدن برای ایجاد هرج و مرج در صورت وقوع یک درگیری مستقیم بر سر تایوان هست. اف‌بی‌آی و متحدانش یک شبکه مخفی از ماشین‌های هک شده رو که این گروه برای رسیدن به اهدافش استفاده می‌کرد، شناسایی و در سال گذشته مختل کردن. اما ولت تایفون یک شبکه جدید ایجاد کرده و فراتر از بنادر اقیانوس آرام، جایی که برای اولین بار شناسایی شد، حرکت کرده. تحقیقات یک محقق در دانشگاه فنی چک نشون داده که بسیاری از مطالعات دانشگاهی در چین، شبکه‌های برق آمریکا رو از دیدگاه مهاجمان بالقوه تحلیل کردن و نحوه ایجاد خاموشی‌های زنجیره‌ای برای نابودی شبکه برق رو مدل‌سازی کردن.

گروه سوم، سیلک تایفون (Silk Typhoon) هست که مایکروسافت این نام رو براش انتخاب کرده و احتمالا به وزارت امنیت دولتی چین وابسته هست. این گروه از تکنیک‌هایی استفاده می‌کنه که شناسایی اون‌ها جزو سخت‌ترین‌ها در جهانه. سیلک تایفون در ابتدا به خاطر سرقت اسرار تجاری برای استفاده توسط شرکت‌های چینی شناخته می‌شد، اما حالا به دنبال اسرار استراتژیک و دیپلماتیک هم هست. این گروه در سال ۲۰۲۱ با بهره‌برداری گسترده از یک نقص در برنامه‌های ایمیل اکسچنج مایکروسافت، به اهداف زیادی نفوذ کرد. قربانیان گذشته این گروه شامل چندین سازمان دولتی آمریکا، یک پیمانکار دفاعی و یک اندیشکده بودن.

بر اساس گزارش‌ها، یک کمپین اخیر از سیلک تایفون که از دسامبر شروع شده، حدود ۱۰۰ قربانی شناخته شده داشته، از جمله وزارتخانه‌های دولتی در اسپانیا و فنلاند و شرکت‌های رسانه‌ای در ژاپن، کره جنوبی و آمریکا، از جمله واشنگتن پست. در مورد واشنگتن پست، هکرها تونستن به ایمیل‌های چندین خبرنگار که در مورد چین و موضوعات دیگه کار می‌کردن، دسترسی پیدا کنن. شرکت «مندینت» (Mandiant) که زیرمجموعه گوگل هست، گفته که در پاسخ به حوادث امنیتی سال ۲۰۲۴، سیلک تایفون بیشترین بازیگر جاسوسی بوده که با اون روبرو شدن. چارلز کارماکال، مدیر ارشد فناوری مندینت، میگه: «کمتر کسی واقعا می‌فهمه که اون‌ها چقدر باهوش هستن و چقدر خوب درهای پشتی رو برای ورود مجدد پنهان می‌کنن.»

منابع

• National Guard was hacked by China’s ‘Salt Typhoon’ group, DHS says
• DHS: Salt Typhoon hackers breached Army National Guard, exposing admin credentials and network diagrams – Industrial Cyber
• Salt Typhoon hacks into National Guard systems a ‘serious escalation’, experts warn – Nextgov/FCW
• US National Guard unit was ‘extensively’ hacked by Salt Typhoon in 2024, memo says | Reuters
• Chinese Group Hacks ‘Edge’ Devices in Ongoing Telecom Targeting – Bloomberg
• Salt Typhoon hack targeted National Guard computer …
• China’s cyber sector amplifies Beijing’s hacking of U.S. targets – The Washington Post
• Taiwan semiconductor hack, Salt Typhoon hits National Guard
• Salt Typhoon Hacks National Guard Systems | Security Magazine