Hiina Volt Typhoon häkkerid varitsesid USA elektrivõrgus peaaegu aasta
Äsja ilmsiks tulnud küberrünnak paljastas murettekitava reaalsuse: Hiina riigi toetatud häkkimisrühmitus Volt Typhoon tungis salaja USA elektrijaama võrku ja jäi avastamata üle 300 päeva. Rünnak, mille sihtmärgiks oli Massachusettsi Littletoni elektrivalgustuse ja vee osakond (LELWD), toob esile kasvava ohu USA kriitilisele infrastruktuurile.
Sisukord
Volti taifuuni sissetung: 300-päevane küberspionaaži operatsioon
ICS/OT turvafirma Dragos andmetel sai Volt Typhoon juurdepääsu LELWD võrgule 2023. aasta veebruaris. Nende kohalolek jäi märkamatuks kuni novembrini 2023, mil Dragos tuvastas sissetungi oma turvalahenduste juurutamisel utiliidis. See avastus tõi kaasa Dragose kaitsemehhanismide kiire kasutuselevõtu, et rikkumist leevendada.
Volt Typhooni, tuntud ka kui Voltzite, tuvastas Microsoft esmakordselt avalikult 2023. aasta mais, mis sidus grupi Hiina valitsusega. Sellest ajast alates on rühmitus saavutanud maine oma kõrgetasemeliste küberspionaažikampaaniate tõttu, mis on suunatud USA kriitilisele infrastruktuurile.
Mida häkkerid taga ajasid?
Erinevalt tüüpilistest küberkurjategijate rühmitustest, mille eesmärk on lunavara või rahaline kasu, viitab Volt Typhooni tegevus strateegilisele pikaajalisele eesmärgile. Dragose sõnul häkkerid:
- Säilitatakse pikaajaline juurdepääs utiliidi töötehnoloogia (OT) võrgule , mis kontrollib füüsilist infrastruktuuri.
- Varastati tundlikud OT-ga seotud andmed , sealhulgas tööprotseduurid ja süsteemi paigutused.
- Eksfiltreeritud geograafilise teabe süsteemi (GIS) andmed , mis sisaldavad olulisi üksikasju energiavõrgu ruumilise paigutuse kohta.
Seda tüüpi luureandmed võivad võimaldada tulevasi küberfüüsilisi rünnakuid, kus häkkerid mitte ainult ei häiri süsteeme eemalt, vaid teavad ka täpselt, mida sihtida, et saada maksimaalne kahju.
Miks on see suur turvaprobleem?
Dragos hoiatas, et kuigi Volt Typhooni pole veel täheldatud tööstusjuhtimissüsteeme (ICS) aktiivselt häirimas, annavad nende pidev juurdepääs ja andmete väljafiltreerimine märku võimalikest ettevalmistustest tulevasteks rünnakuteks.
ICS Cyber Kill Chain liigitab rünnakud mitmeks etapiks. Seni näib Volt Typhoon olevat 1. etapis, mis hõlmab luuret ja andmete vargust. Kui nad aga jõuavad 2. etappi, võivad nad välja töötada ja katsetada suunatud rünnakuid USA elektrivõrkude, veesüsteemide või muu kriitilise infrastruktuuri vastu.
Hiina kübersõja strateegia: tulevaste rünnakute aluse panemine?
See juhtum sobib laiema Hiina küberspionaaži mustriga, mis on suunatud USA infrastruktuurile. Turvaeksperdid usuvad, et sellised rühmitused nagu Volt Typhoon ei tegele ainult jälgimisega, vaid loovad aluse võimalikele tulevastele konfliktidele.
Kriitilistesse süsteemidesse imbudes ja kaardistades aastaid ette, võib Hiina seada end geopoliitiliste pingete eskaleerudes korraldama laastavaid küberrünnakuid. See on kooskõlas USA luureagentuuride varasemate hoiatustega, mis on hoiatanud, et Hiina uurib aktiivselt Ameerika infrastruktuuri haavatavust.
Vajadus tugevama OT-turvalisuse järele
LELWD vahejuhtum toimib äratuskõnena kõigile kommunaalteenuste ja kriitilise infrastruktuuri pakkujatele. Paljudel väiksematel kommunaalettevõtetel puuduvad suuremate organisatsioonide küberjulgeolekuressursid, mistõttu on need rahvusriikide häkkerite jaoks atraktiivsed sihtmärgid.
Dragose juhtumiuuring rõhutab reaalajas jälgimise, võrgu segmenteerimise ja sissetungimise tuvastamise tähtsust OT-keskkondade kaitsmisel. Ilma nende kaitsemehhanismideta võivad häkkerid jääda märkamatuks kuude või isegi aastate jooksul, kogudes luureandmeid ja valmistudes potentsiaalseks kübersõjaks.
Kasvav oht, mida ei saa eirata
Volt Typhooni rünnak LELWD vastu tõestab, et rahvusriikide häkkerid on juba USA kriitilises infrastruktuuris, mitte ainult ei katseta kaitsemehhanisme, vaid koguvad aktiivselt luureandmeid võimalike tulevaste rünnakute jaoks.
Kasvavate geopoliitiliste pingete ja küberohtude arenedes peab USA seadma prioriteediks oma küberkaitse tugevdamise – enne kui on liiga hilja.