Kinas regim har länge sett cyberrymden som en viktig militär domän, och USA som den främsta fienden. På senare år har USA dock börjat vakna upp inför hotet. Nu talar man alltmer om att slå tillbaka och visa att det inte är gratis att angripa landet.
Kinesiska kommunistpartiet (KKP) ses nu av den amerikanska militären som det största cyberhotet och den främsta fienden, med förmåga att inte bara bedriva spionage utan även sabotera livsviktiga system.
Många cybersäkerhets- och trendrapporter för 2025 slår larm om den kinesiska regimens alltmer sofistikerade cyberkapacitet, och en av dem utnämner till och med 2024 till ”vändpunkten” för kinesiskt cyberspionage.
De senaste storskaliga, mer sofistikerade hackningarna av kritisk infrastruktur och telekommunikationsnätverk i USA, vilka förblev oupptäckta i månader, kanske rentav år, riktade ny uppmärksamhet mot frågan.
Det här är dock inget som har kommit plötsligt, utan är en följd av tre årtionden av tunga kinesiska investeringar i cybersektorn. USA har också ändrat sitt synsätt på Kinas kommunistregim och är nu fast beslutet att slå tillbaka.
1996 var Kevin Mandia specialagent vid Air Force Office of Special Investigations när han för första gången såg en kinesisk statssponsrad cyberkampanj infiltrera ”27 eller 37 militärbaser” via ett universitet på västkusten, med hjälp av legitima inloggningsuppgifter som tillhörde flera före detta kinesiska utbytesstudenter.
Enligt Mandia visade detta hur systematiskt Kina arbetar: en person eller ett team hade till uppgift att testa inloggningsuppgifter, medan en annan person eller ett annat team hade till uppgift att stjäla data. KKP:s militär, Folkets befrielsearmé, har haft cyberenheter sedan 1990-talet, medan USA först 2009 inrättade U.S. Cyber Command, eller Cybercom, för att samordna cyberoperationer.
KKP har länge betraktat cyberrymden som ett slagfält, precis som land, luft och hav, men de tidiga statligt stödda cyberaktiviteterna mot USA betraktades snarare som ekonomiskt spionage för att stärka kinesiska företag genom att stjäla företagshemligheter.
USA:s dåvarande biträdande justitieminister Jeffery Rosen under en presentation om hackerattacker 2020 i Washington D.C. Foto: Tasos Katopodis-Pool/Getty Images
Trots detta var det först när en banbrytande rapport publicerades av cybersäkerhetsföretaget Mandiant 2013, som avslöjade att en kinesisk hackergrupp var identisk med Folkets befrielsearmés enhet 61398, som den amerikanska privata sektorn tog hotet på allvar. Rapporten, som identifierade de exakta byggnaderna där hackarna arbetade och identiteten på några av enhetens medlemmar, beskrev i detalj hur gruppen hade stulit data från 141 företag i 20 branscher sedan 2006.
– Vi gjorde det för att verkligen visa att ”Kina hackar allt och alla, och ingen vet om det”, sade Mandia, tidigare vd för Mandiant, i ett tal på RSA-konferensen i april.
Kinas ledare Xi Jinping, vars mandatperiod har präglats av öppet aggressiv konkurrens gentemot USA, uttryckte tidigt sin avsikt att göra regimen till en supermakt i cyberrymden. Officiella tal och dokument beskrev behovet av att säkra cybermakt som en grundpelare för ekonomisk, nationell och militär säkerhet.
Samma år förklarade Xi att regimen skulle fokusera på KKP:s strategi för ”militär-civil fusion”, som suddar ut gränserna mellan teknik för kommersiellt bruk och militär användning, vilket sätter fingret tydligt på det faktum att det inte finns någon ”privat sektor” i västlig mening i det kommunistiska Kina.
Hur skiljer sig detta från kärnvapen i termer av avskräckning?
Jeff HoffmannSenior cyberforskare The Gold Institute for International Strategy
Under det senaste decenniet har KKP:s investeringar i cyberkapacitet varit oöverträffade. Ett exempel är hackningstävlingarna i Kina, som erbjuder praktisk erfarenhet, kunskapsutbyte och karriärvägar för en ständigt växande hackarindustri.
Den amerikanska tankesmedjan Atlantic Council beskriver i en analys av kinesiska hackningstävlingar ekosystemet som ”oöverträffat i storlek och omfattning”. Regimen är också en stor inköpare av offensiva cyberverktyg, och har därmed alltid bred tillgång till olika svagheter i system som kan utnyttjas, enligt en annan rapport från Atlantic Council. Det är en miljö där även lokala grenar av regimen har cyberenheter som utför operationer.
Paul Rosenzweig, cybersäkerhetsexpert och tidigare biträdande statssekreterare för policy vid det amerikanska departementet för inrikes säkerhet, säger till Epoch Times att den tid och de pengar som den kinesiska regimen har investerat i cyberverksamhet har gjort att den nu ligger på samma nivå som USA inom den sektorn. De två ländernas tillvägagångssätt skiljer sig dock åt dramatiskt, säger han, och pekar på rekryteringsmetoder där en hackare som grips i Kina kan få ett statligt jobb i stället för fängelsestraff.
– De 10 000 bästa [cyberoperatörerna] i USA är bättre än de 10 000 bästa i Kina. Men om USA har 100 000 [cyberoperatörer] så har Kina en miljon.
Cybersäkerhetsforskare menar att kinesiska statligt stödda cyberaktiviteter har blivit svårare att upptäcka på senare tid, vilket inte bara tyder på en finjustering av teknikerna, utan också på en ökad tonvikt på operativ säkerhet och infrastrukturhantering i dessa organiserade kampanjer.
Det är inte så att den amerikanska offentliga eller privata sektorn har varit okunnig om KKP:s skadliga cyberaktiviteter. Snarare var det så att hackade företag eller personer under många år helt enkelt inte hade någon möjlighet att få ersättning. Arbetet med att stärka cyberförsvaret faller till stor del på den privata sektorn, men den vill att staten leder detta.
Den internationella förändringen i attityden till Huawei är ett av de tydligaste exemplen på hur världen blivit mer medveten om hur kinesiska företag fungerar. Foto: Cheng Xin/Getty Images
Politiker, tjänstemän och experter runt om i världen hade redan i början av 2000-talet uttryckt oro för den nationella säkerheten i samband med kinesiska telekomtjänster, däribland Huawei. Men det var den första Trump-administrationen, som utnämnde Huawei/ZTE:s telekomutrustning till ett hot mot nationell säkerhet.
Vid den tiden använde en tredjedel av världen Huawei/ZTE-teknik, en tredjedel använde pålitlig teknik och en tredjedel hade ännu inte bestämt sig, berättar David Stehlin, vd för Telecommunications Industry Association (TIA) för Epoch Times. Han har lång erfarenhet av att se företag och projekt han varit inblandad i bli bestulna på information av Huawei och konkurreras ut i alla budgivningar.
Trumpadministrationen valde inte bara pålitlig teknik i USA, utan försökte också aktivera andra länder och ”för det första informera dem om riskerna och för det andra visa dem vägen till ett säkrare nätverk”, säger Stehlin.
– [Den första Trumpadministrationen] insåg att vi behöver mer pålitlig teknik i kommunikationsinfrastrukturen runt om i världen.
I dagens uppkopplade värld, där nästan all internettrafik går via undervattenskablar, kan intrång i andra länder också leda till sårbarheter i systemen i hemlandet.
[Den första Trump-administrationen] insåg att vi behöver mer pålitlig teknik i kommunikationsinfrastrukturen.
David StehlinVd, Telecommunications Industry Association (TIA)
Försvarsexperter och veteraner inom kritisk infrastruktur ger president Donald Trump stort erkännande för att USA under hans första presidentperiod fastställde att KKP var en cyberfiende. Detta röjde vägen för en samordnad lösning.
År 2018 utfärdade Trump landets första strategi för cybersäkerhet sedan 2003. Sedan dess har riskerna för USA bara vuxit. I takt med att världen blivit alltmer uppkopplad har fiender som letar efter en oskyddad ingång fått allt fler alternativ.
Telekommunikationsnätverk är särskilt viktiga mål, eftersom de är utsatta för både cyberspionage och potentiella cyberattacker, och det fanns redan väl dokumenterade fall där kinesiska statliga telekomföretag omdirigerade amerikanska eller europeiska data till Kina. När USA avsatte miljontals skattedollar för att under det kommande decenniet rensa ut dessa opålitliga tekniker, började även företag se över sin säkerhetsstrategi.
Branschorganisationen TIA började utarbeta standarder för certifiering av produkter och tjänster inom telekommunikationssektorn. Med hjälp av expertis från volontärer i sina över 400 medlemsföretag och med stöd från USA och andra regeringar, publicerade TIA den första standarden för cybersäkerhet och säkerhet i leveranskedjan 2022. En uppdatering publicerades 2023.
– Organisationer har börjat gå från att vara reaktiva till att vara proaktiva, säger Stehlin.
Numera rekommenderas att ett företag bygger in säkerhet i produkt- eller tjänsteutvecklingen från början och förbereder sig för eventuella intrång. Tillvägagångssättet omfattar flera säkerhetslager för att begränsa eventuella intrång och använder kontinuerlig övervakning och jakt på hot inom systemet.
– Kan du spåra programvaran hela vägen tillbaka till källan? Hur snabbt åtgärdar du ett problem när det uppstår? Hur vet du att de chip du använder inte är förfalskade? Är du som företag en pålitlig leverantör? säger Stehlin.
Men KKP har likväl fått USA på defensiven. Med tillräckligt med tid och resurser kan vilket system som helst penetreras. Peking slog också till hårt medan den amerikanska säkerhetsstrategin påbörjade sin omställning.
Att inte reagera är i sig eskalerande. Om man ständigt låter motståndaren köra över en så skapar det en norm.
Alexei BulazelSenior chef för cyberfrågor Vita husets nationella säkerhetsråd
I en rapport från maj 2023 redogjorde Microsoft i detalj för hur ”Volt Typhoon”, en statligt sponsrad kinesisk kampanj riktad mot kritisk amerikansk infrastruktur, hade varit aktiv sedan mitten av 2021 och drabbat organisationer inom kommunikation, tillverkning, transport, bygg, sjöfart, myndigheter, it och utbildning. Man betonade kampanjens fokus på att arbeta dolt och efterlikna legitim aktivitet för att undvika upptäckt så länge som möjligt.
Microsoft bedömde att Volt Typhoon också strävade efter att skaffa sig förmåga att störa den kritiska infrastrukturen i händelse av konflikt.
Ett år senare kunde FBI-chefen Christopher Wray redogöra inför den amerikanska kongressen att Volt Typhoon låg i startgroparna för att orsaka störningar. Bränslebristen som orsakades av en ransomware-attack mot Colonial Pipeline 2021 hade redan visat amerikanerna vad en cyberstörning av kritisk infrastruktur kan innebära.
Volt Typhoons var också bara en av flera nya kampanjer med den här sortens smygtaktik och långsiktighet.
Salt Typhoon riktade in sig på telekommunikationsnätverk och lyckades komma över statlig kommunikation. Flax Typhoon visade på risken med kinesisktillverkad konsumentelektronik, när cirka 200 000 enheter, inklusive kameror och wi-fi-routrar, kapades för att skapa ett nätverk med vilket cyberspionageoperationer kunde utföras.
Silk Typhoons intrång i Microsoft Exchange-servrar var så omfattande att det fick USA, Storbritannien och EU att utfärda sitt första gemensamma uttalande där de fördömde den kinesiska regimens cyberaktiviteter. Det amerikanska justitiedepartementet begärde ett domstolsbeslut för att FBI skulle kunna ta bort skadlig programvara från tiotusentals civila servrar.
I juli namngav Microsoft ytterligare två kampanjer som stöddes av KKP och som var inblandade i stöld av data från Sharepoint-servrar. Beteckningen ”Typhoon” är vad Microsoft använder för att spåra kampanjer som stöds av KKP, men olika säkerhetsforskare använder andra namn.
Jeff Hoffmann, senior cyberforskare vid The Gold Institute for International Strategy, säger till Epoch Times att KKP ”verkligen är på gång när det gäller att utforska var det kan finnas sårbarheter och visa att [det har] en närvaro”.
– Hur skiljer sig detta från kärnvapen i termer av avskräckning? säger han.
Trump-administrationen satsar nu på att visa landets motståndare att de cyberaktiviteter som har pågått mot USA är oacceptabla.
Alexei Bulazel, senior chef för cyberfrågor vid Vita husets nationella säkerhetsråd, sade vid RSA-konferensen att även om avskräckning i den mening som användes under kalla kriget inte fungerar i cyberrymden, finns det sätt att försvaga fiendens kapacitet och göra intrångsförsök kostsamma.
– Att inte reagera är i sig eskalerande. Om man ständigt låter motståndaren köra över en – de hackar en och man gör ingenting, och de hackar en igen – så skapar det en norm. Vi måste hitta ett sätt att förklara att detta inte är acceptabelt, sade han
Volt Typhoon är en av flera kinesiska cyberkampanjer mot USA och dess allierade som upptäckts på senare år. Foto: Charles Deluvio
Den erfarne FBI-agenten Brett Leatherman, som i juni befordrades till chef för byråns cyberbrottsavdelning, sade i ett uttalande att hans uppgift var att göra skadlig cyberaktivitet mot USA ”ohållbar”.
Den tillträdande nationelle cyberchefen Sean Cairncross sade under sin utfrågning i senaten att det dilemma som USA står inför på cyberområdet måste förändras.
– Våra fiender ser att det inte kostar dem något att ägna sig åt detta beteende, så de ställer oss inför strategiska dilemman nu, och det har de gjort under lång tid, sade han.
– Det är dags att vi ställer dem inför samma dilemma. Jag ser fram emot att arbeta och göra allt jag kan för att se till att våra motståndare, våra fiender och brottslingar som är verksamma inom detta område förstår att detta inte är en kostnadsfri verksamhet.
