Čínskí hackeři Volt Typhoon číhali v americké elektrické síti téměř rok

Nově odhalený kybernetický útok odhalil znepokojivou realitu: čínská státem podporovaná hackerská skupina známá jako Volt Typhoon tajně infiltrovala síť americké elektrické společnosti a zůstala nedetekována více než 300 dní. Útok, který se zaměřil na Littleton Electric Light and Water Departments (LELWD) v Massachusetts, zdůrazňuje rostoucí hrozbu pro kritickou infrastrukturu USA.

Intrusion Volt Typhoon: 300denní kybernetická špionážní operace

Podle bezpečnostní firmy ICS/OT Dragos získal Volt Typhoon přístup k síti LELWD v únoru 2023. Jejich přítomnost zůstala bez povšimnutí až do listopadu 2023, kdy Dragos detekoval narušení během implementace svých bezpečnostních řešení v obslužném programu. Tento objev vedl k rychlému nasazení Dragosovy obrany ke zmírnění průniku.

Volt Typhoon, také známý jako Voltzite, byl poprvé veřejně identifikován v květnu 2023 společností Microsoft, která spojila skupinu s čínskou vládou. Od té doby si skupina získala reputaci pro své vysoce sofistikované kyberšpionážní kampaně zaměřené na kritickou infrastrukturu USA.

O co hackeři šli?

Na rozdíl od typických kyberzločineckých skupin, jejichž cílem je ransomware nebo finanční zisk, aktivity Volta Typhoonu naznačují strategický, dlouhodobý cíl. Podle Dragose hackeři:

• Udržovaný dlouhodobý přístup k síti provozních technologií (OT) společnosti, která řídí fyzickou infrastrukturu.
• Ukradl citlivá data související s OT , včetně provozních postupů a uspořádání systému.
• Exfiltrovaná data geografického informačního systému (GIS) , která obsahují kritické podrobnosti o prostorovém uspořádání energetické sítě.

Tento typ inteligence by mohl umožnit budoucí kybernetické útoky, kdy hackeři nejen narušují systémy na dálku, ale také přesně vědí, na co se zaměřit, aby došlo k maximálnímu poškození.

Proč jde o hlavní bezpečnostní problém?

Dragos varoval, že zatímco Volt Typhoon dosud nebyl pozorován, jak aktivně narušuje průmyslové řídicí systémy (ICS), jejich trvalý přístup a exfiltrace dat signalizují potenciální přípravy na budoucí útoky.

Cyber Kill Chain ICS klasifikuje útoky do několika fází. Zatím se zdá, že Volt Typhoon je ve Stage 1, což zahrnuje průzkum a krádež dat. Pokud však postoupí do fáze 2, mohou vyvinout a otestovat cílené útoky na americké rozvodné sítě, vodní systémy nebo jinou kritickou infrastrukturu.

Čínská strategie kybernetické války: Položení základů pro budoucí útoky?

Tento incident zapadá do širšího vzorce čínské kybernetické špionáže zaměřené na americkou infrastrukturu. Bezpečnostní experti se domnívají, že skupiny jako Volt Typhoon neprovádějí pouze sledování, ale pokládají základy pro potenciální budoucí konflikty.

Infiltrací a zmapováním kritických systémů roky předem by se Čína mohla postavit k zahájení ničivých kybernetických útoků v případě eskalace geopolitického napětí. To je v souladu s předchozími varováními amerických zpravodajských agentur, které varovaly, že Čína aktivně zkoumá zranitelnost americké infrastruktury.

Potřeba silnějšího OT zabezpečení

Incident LELWD slouží jako probuzení pro všechny poskytovatele veřejných služeb a kritické infrastruktury. Mnoho menších veřejných služeb postrádá zdroje kybernetické bezpečnosti větších organizací, což z nich činí atraktivní cíle pro hackery z národních států.

Dragosova případová studie zdůrazňuje důležitost monitorování v reálném čase, segmentace sítě a detekce narušení při ochraně OT prostředí. Bez těchto obran mohou hackeři zůstat neodhaleni měsíce – nebo dokonce roky – shromažďovat informace a připravovat se na potenciální kybernetickou válku.

Rostoucí hrozba, kterou nelze ignorovat

Útok Volt Typhoon na LELWD dokazuje, že hackeři z národních států jsou již uvnitř kritické infrastruktury USA, nejen že testují obranu, ale aktivně shromažďují informace pro potenciální budoucí útoky.

S rostoucím geopolitickým napětím a vyvíjejícími se kybernetickými hrozbami musí USA upřednostnit posílení své kybernetické obrany – než bude příliš pozdě.