Trupperna har olika fantasifulla namn, Volt Typhoon, Apt 41, Storm-0558, Wintti, Double Dragon, Amoeba och APT 27. Det finns två helt skilda bilder av det digitala kriget – den västerländska främst framförd av amerikanska underrättelseorganisationer och så den kinesiska.

Nyligen meddelade amerikanska FBI att de har ha avvärjt en attack riktad mot amerikanska vatten och elinstallationer – viktig amerikansk infrastruktur. FBI säger sig ha lyckats att avlägsna KV Botnet, malware, som infekterat nätverksroutrar från Cisco och Netgear.

”Volt Typhoon skadlig programvara gjorde det möjligt för Kina att dölja, bland annat, preoperativ spaning och nätverksexploatering mot kritisk infrastruktur som vår kommunikations-, energi-, transport- och vattensektor.”

FBI-Chefen Christopher Wray

Enskilda medlemmar som ingår i de här kinesiska hackargrupperna finns med på FBIs lista över de mest efterspanade misstänkta brottslingarna. Går du igenom listan över efterspanade när det handlar om cyberbrottslighet så upptas den listan av kinesiska medborgare och ryska medborgare – till stor del.

Den amerikanska och den västerländska bilden av den här ljusskygga verksamheten är att Kina har en armé av hackare, statsunderstödda med kopplingar till det kinesiska kommunistpartiet. Hackare som hela tiden försöker hitta och kartlägga svagheter i samhällsviktig infrastruktur, styrsystem för vatten, el, trafik och liknande. Enligt Christer Wray så besitter Kina en kapacitet som motsvarar alla övriga länder tillsammans – 50 mot 1 är storleksförhållandet enligt FBI.

Den federala polisens, FBIs, uppgifter backas upp av det amerikanska justitiedepartementet som stöder sig på rapporter bland annat från den amerikanska underättelseorganisationen NSA. Det finns även gott om andra rapporter från Microsoft, IBM och kanadensiska Citizen Labs som utan tvekan går i samma riktning. Brittiska underrättelsrapporter har inte sällan ett mycket snarlikt innehåll när det handla om det kinesiska hackargrupper sysslar med ute på nätet när de flesta av oss ligger och sover.

Avfärdar

De utpekade, de yttersta ansvariga, den kinesiska regimen slår ifrån sig och avfärdar alla påståenden som ”grundlösa spekulationer”. När det sedan gäller den bevisning som förs fram så är den inte helt lätt att förstå och för en oinvigd så kan de te sig som allt annat än vattentät. Lägg sedan till att de som jagar de kinesiska hackar inte gärna vill berätta för mycket. För mycket information om hur jakten går till, hur det intrikata och komplicerade pusslet läggs kan ge hackarna själva viktig information om hur de ska undgå upptäckt.

Det handlar om att kartlägga de metoder som används, vilka program, mjukvaror som används och bevisen kan utgöras av något så litet som en fras i ett skadligt program som hittats ute på nätet. Tillsammans med tillvägagångssätt, måltavlan, var, när och hur attacken sätts in så bildar det till slut det analytiska pussel som leder fram till Kina. Ibland begår hackarna misstag som direkt avslöjar var de hör hemma och det här är ett analysarbete för de med extremt gott tålamod. Pusselbitarna kan vara små, inledningsvis, och de kanske inte ens passar i den samlade bilden förrän ytterligare små bitar kan läggas till. Det finns dock en metod, och det är viktigt att ha i minnet, därför att även om analyserna till slut handlar om bedömningar så är det inte rena killigissningar som leder fram till slutsatsen att en attack kommer från Kina.

Allmänheten

Det här är ett problem när vi andra, allmänheten, sedan ska informeras. Så snart den insamlade informationen ska gås igenom så sker det bakom stängda dörrar och vi får ofta bara brottstycken oss till livs. Allmänhetens insyn är av förståeliga skäl högst begränsad och även om det kan krävas domstolsbeslut för avlyssning och andra åtgärder så sker det (i USA) inför hemliga specialdomstolar.

I den senaste operationen så kartlade FBI vilka nätverksroutrar som var eller som kunde vara infekterade av den skadliga mjukvaran KV Botnet. Sedan lämnades det in dokument till domstol som visade att FBI skickade kommandon till drabbade enheter för att slå ut och slå av KV Botnet.

22. To effect these seizures, the FBI will simultaneously issue commands that will interfere with the hackers’ control over the instrumentalities of their crimes (the Target Devices), including by preventing the hackers from easily re-infecting the Target Devices with KV Botnet malware.

1. a. When the FBI deletes the KV Botnet malware from the Target Devices [redacted. To seize the Target Devices and interfere with the hackers’ control over them, the FBI [redacted]. This [redacted] will have no effect except to protect the Target Device from reinfection by the KV Botnet [redacted] The effect of can be undone by restarting the Target Device [redacted] make the Target Device vulnerable to re-infection.
2. b. [redacted] the FBI will seize each such Target Device by causing the malware on it to communicate with only itself. This method of seizure will interfere with the ability of the hackers to control these Target Devices. This communications loopback will, like the malware itself, not survive a restart of a Target Device.
3. c. To seize Target Devices, the FBI will [redacted] block incoming traffic [redacted] used exclusively by the KV Botnet malware on Target Devices, to block outbound traffic to [redacted] the Target Devices’ parent and command-and-control nodes, and to allow a Target Device to communicate with itself [redacted] are not normally used by the router, and so the router’s legitimate functionality is not affected. The effect of [redacted] to prevent other parts of the botnet from contacting the victim router, undoing the FBI’s commands, and reconnecting it to the botnet. The effect of these commands is undone by restarting the Target Devices.

23. To effect these seizures, the FBI will issue a command to each Target Device to stop it from running the KV Botnet VPN process. This command will also stop the Target Device from operating as a VPN node, thereby preventing the hackers from further accessing Target Devices through any established VPN tunnel. This command will not affect the Target Device if the VPN process is not running, and will not otherwise affect the Target Device, including any legitimate VPN process installed by the owner of the Target Device.

Det ovan är plockat direkt ur FBIs rapport och sammanställning.

Syfte

Så vad skulle Kinas syfte då vara, förutom det helt uppenbara att samla in information om andra länders viktiga funktioner. Enligt FBI så finns ett politisk motiv i botten – försöka att få människor i väst att inte lita på sina myndigheter, medier, samhällsfunktioner, polis, militär och styrande politiker.

“Low blows against civilians are part of China’s plan.”

Kina vill skapa en misstro mot hela det omgivande samhället därför att det i en förlängning bygger på polarisering och splittring. Den bilden delar inte Kina men så mycket mer än att alla analyser och rapporter avfärdas som rena påhitt går inte den kinesiska regimen. FBIs påståenden är propaganda avsedd att skapa splitting mellan Kina och USA, försämra förhållandet mellan länderna och samtidigt dra in andra västerländska länder och sprida den amerikanska bilden av hur världen ser ut. Som ett led i den planen som misstänkliggör USA kinesiska bolag, TikTok, Huawei, och andra.

En förlängning av det digitala kriget ute på nätet har lett till att amerikanska politiker krävt förbud mot den sociala plattformen TikTok, stopp för kinesiska produkter i telenäten och kinesiska Huawei har stoppats från att ha med sina produkter i det svenska 5G-nätet.

”Kinesiska hotaktörer har nyligen skiftat sin strategi från rent spionage till att etablera varaktig tillgång till kritiska nätverk som svar på det föränderliga geopolitiska landskapet och möjligen som förberedelse för en konflikt eller för riktade attacker.”

Daniel dos Santos vid säkerhetsföretaget Forescout