Kinas Volt Typhoon-hackere lurede i det amerikanske elnet i næsten et år
Et nyligt afsløret cyberangreb har afsløret en foruroligende virkelighed: en kinesisk statssponsoreret hackergruppe kendt som Volt Typhoon infiltrerede hemmeligt et amerikansk elselskabs netværk og forblev uopdaget i over 300 dage. Angrebet, som var rettet mod Littleton Electric Light and Water Departments (LELWD) i Massachusetts, fremhæver den voksende trussel mod amerikansk kritisk infrastruktur.
Indholdsfortegnelse
The Volt Typhoon Intrusion: En 300-dages cyberspionageoperation
Ifølge ICS/OT-sikkerhedsfirmaet Dragos fik Volt Typhoon adgang til LELWDs netværk i februar 2023. Deres tilstedeværelse gik ubemærket hen indtil november 2023, hvor Dragos opdagede indtrængen under implementeringen af sine sikkerhedsløsninger på forsyningsselskabet. Denne opdagelse førte til en hurtig indsættelse af Dragos' forsvar for at afbøde bruddet.
Volt Typhoon, også kendt som Voltzite, blev først offentligt identificeret i maj 2023 af Microsoft, som knyttede gruppen til den kinesiske regering. Siden da har gruppen fået et ry for sine meget sofistikerede cyberspionagekampagner rettet mod amerikansk kritisk infrastruktur.
Hvad var hackerne ude efter?
I modsætning til typiske cyberkriminelle grupper, der sigter efter ransomware eller økonomisk vinding, indikerer Volt Typhoons aktiviteter et strategisk, langsigtet mål. Ifølge Dragos, hackerne:
- Opretholdt langsigtet adgang til forsyningens driftsteknologiske (OT) netværk , som styrer fysisk infrastruktur.
- Stjal følsomme OT-relaterede data , herunder operationelle procedurer og systemlayouts.
- Exfiltrated Geografisk Information System (GIS) data , som indeholder kritiske detaljer om energinettets rumlige layout.
Denne type intelligens kan tillade fremtidige cyber-fysiske angreb, hvor hackere ikke kun fjerner systemer, men også ved præcis, hvad de skal målrette mod for maksimal skade.
Hvorfor er dette en stor sikkerhedsbekymring?
Dragos advarede om, at selvom Volt Typhoon endnu ikke er blevet observeret aktivt at forstyrre industrielle kontrolsystemer (ICS), signalerer deres vedvarende adgang og dataeksfiltrering potentielle forberedelser til fremtidige angreb.
ICS Cyber Kill Chain klassificerer angreb i flere stadier. Indtil videre ser Volt Typhoon ud til at være på trin 1, som involverer rekognoscering og datatyveri. Men hvis de går videre til trin 2, kan de udvikle og teste målrettede angreb på amerikanske elnet, vandsystemer eller anden kritisk infrastruktur.
Kinas strategi for cyberkrigsførelse: At lægge grunden til fremtidige angreb?
Denne hændelse passer ind i et bredere mønster af kinesisk cyberspionage rettet mod amerikansk infrastruktur. Sikkerhedseksperter mener, at grupper som Volt Typhoon ikke kun udfører overvågning, men lægger grunden til potentielle fremtidige konflikter.
Ved at infiltrere og kortlægge kritiske systemer år i forvejen, kunne Kina positionere sig til at iværksætte ødelæggende cyberangreb i tilfælde af eskalerende geopolitiske spændinger. Dette stemmer overens med tidligere advarsler fra amerikanske efterretningstjenester, som har advaret om, at Kina aktivt undersøger amerikansk infrastruktur for sårbarheder.
Behovet for stærkere OT-sikkerhed
LELWD-hændelsen fungerer som et wake-up call for alle forsyningsselskaber og udbydere af kritisk infrastruktur. Mange mindre offentlige forsyningsselskaber mangler større organisationers cybersikkerhedsressourcer, hvilket gør dem attraktive mål for nationalstatshackere.
Dragos' casestudie understreger vigtigheden af overvågning i realtid, netværkssegmentering og indtrængningsdetektion for at beskytte OT-miljøer. Uden disse forsvar kan hackere forblive uopdaget i måneder – eller endda år – ved at indsamle efterretninger og forberede sig på potentiel cyberkrigsførelse.
En voksende trussel, der ikke kan ignoreres
Volt Typhoon-angrebet på LELWD beviser, at nationalstatshackere allerede er inde i amerikansk kritisk infrastruktur, og de tester ikke kun forsvar, men indsamler aktivt efterretninger til potentielle fremtidige angreb.
Med stigende geopolitiske spændinger og cybertrusler under udvikling, må USA prioritere at styrke sit cyberforsvar – før det er for sent.