Китайските хакери Volt Typhoon дебнат електрическата мрежа на САЩ почти година

Новоразкрита кибератака разкри смущаваща реалност: спонсорирана от китайската държава хакерска група, известна като Volt Typhoon, тайно проникна в мрежата на електрическа компания в САЩ и остана неоткрита повече от 300 дни. Атаката, насочена към отделите за електрическо осветление и вода на Литълтън (LELWD) в Масачузетс, подчертава нарастващата заплаха за критичната инфраструктура на САЩ.

Нахлуването на Volt Typhoon: 300-дневна операция за кибершпионаж

Според фирмата за сигурност на ICS/OT Dragos, Volt Typhoon е получил достъп до мрежата на LELWD през февруари 2023 г. Тяхното присъствие остава незабелязано до ноември 2023 г., когато Dragos открива проникването по време на внедряването на своите решения за сигурност в предприятието. Това откритие доведе до бързо разгръщане на защитата на Драгос за смекчаване на пробива.

Volt Typhoon, известен още като Voltzite, беше идентифициран за първи път публично през май 2023 г. от Microsoft, който свърза групата с китайското правителство. Оттогава групата си спечели репутация със своите изключително сложни кампании за кибершпионаж , насочени към критична инфраструктура на САЩ.

Какво преследваха хакерите?

За разлика от типичните киберпрестъпни групи, които се стремят към ransomware или финансова печалба, дейностите на Volt Typhoon показват стратегическа, дългосрочна цел. Според Dragos, хакерите:

• Поддържан дългосрочен достъп до оперативната технологична (OT) мрежа на предприятието, която контролира физическата инфраструктура.
• Откраднал чувствителни данни, свързани с OT , включително оперативни процедури и системни оформления.
• Ексфилтрирани данни от географска информационна система (GIS) , които съдържат важни подробности за пространственото оформление на енергийната мрежа.

Този тип интелигентност може да позволи бъдещи кибер-физически атаки, при които хакерите не само прекъсват системите дистанционно, но също така знаят точно към какво да се прицелят за максимални щети.

Защо това е сериозна загриженост за сигурността?

Драгос предупреди, че докато Volt Typhoon все още не е наблюдаван да нарушава активно системите за индустриален контрол (ICS), техният постоянен достъп и ексфилтрация на данни сигнализират за потенциална подготовка за бъдещи атаки.

ICS Cyber Kill Chain класифицира атаките на няколко етапа. Засега Volt Typhoon изглежда е на Етап 1, който включва разузнаване и кражба на данни. Въпреки това, ако преминат към Етап 2, те биха могли да разработят и тестват целенасочени атаки срещу електрическите мрежи на САЩ, водните системи или друга критична инфраструктура.

Стратегията на Китай за кибервойна: Полагане на основите за бъдещи атаки?

Този инцидент се вписва в по-широк модел на китайски кибершпионаж, насочен към инфраструктурата на САЩ. Експерти по сигурността вярват, че групи като Volt Typhoon не просто извършват наблюдение, но полагат основата за потенциални бъдещи конфликти.

Чрез проникване и картографиране на критични системи години предварително, Китай може да се позиционира да започне опустошителни кибератаки в случай на ескалиране на геополитическото напрежение. Това е в съответствие с предишни предупреждения от американските разузнавателни агенции, които предупредиха, че Китай активно проучва американската инфраструктура за уязвимости.

Необходимостта от по-силна OT сигурност

Инцидентът с LELWD служи като сигнал за събуждане за всички комунални услуги и доставчици на критична инфраструктура. Много по-малки обществени предприятия нямат ресурсите за киберсигурност на по-големите организации, което ги прави привлекателни цели за хакери от национални държави.

Казусът на Dragos подчертава значението на мониторинга в реално време, сегментирането на мрежата и откриването на проникване за защита на OT среди. Без тези защити хакерите могат да останат незабелязани в продължение на месеци или дори години, като събират информация и се подготвят за потенциална кибер война.

Нарастваща заплаха, която не може да бъде пренебрегната

Атаката на Volt Typhoon срещу LELWD доказва, че хакери от национална държава вече са в критичната инфраструктура на САЩ, като не само тестват защити, но активно събират разузнавателна информация за потенциални бъдещи атаки.

С нарастващото геополитическо напрежение и развиващите се киберзаплахи, САЩ трябва да дадат приоритет на укрепването на своята киберзащита - преди да е станало твърде късно.