Kiinan Volt Typhoon -hakkerit vaanivat Yhdysvaltain sähköverkossa lähes vuoden

Äskettäin paljastunut kyberhyökkäys on paljastanut huolestuttavan todellisuuden: Kiinan valtion tukema hakkerointiryhmä, joka tunnetaan nimellä Volt Typhoon, soluttautui salaa Yhdysvaltain sähkölaitoksen verkkoon ja pysyi havaitsematta yli 300 päivää. Hyökkäys, joka kohdistui Littletonin sähkö- ja vesiosastoihin (LELWD) Massachusettsissa, korostaa kasvavaa uhkaa Yhdysvaltain kriittiselle infrastruktuurille.

Volt Typhoon Intrusion: 300 päivän kybervakoiluoperaatio

ICS/OT-tietoturvayhtiö Dragosin mukaan Volt Typhoon pääsi LELWD:n verkkoon helmikuussa 2023. Heidän läsnäolonsa jäi huomaamatta marraskuuhun 2023 asti, jolloin Dragos havaitsi tunkeutumisen toteuttaessaan tietoturvaratkaisujaan apuohjelmassa. Tämä löytö johti Dragosin puolustusmekanismien nopeaan käyttöönoton lieventämiseksi.

Volt Typhoon, joka tunnetaan myös nimellä Voltzite, tunnisti ensimmäisen kerran julkisesti toukokuussa 2023 Microsoftin toimesta, joka yhdisti ryhmän Kiinan hallitukseen. Sittemmin ryhmä on saavuttanut mainetta erittäin kehittyneistä kybervakoilukampanjoistaan , jotka on kohdistettu Yhdysvaltain kriittiseen infrastruktuuriin.

Mitä hakkerit ajoivat takaa?

Toisin kuin tyypilliset kyberrikollisryhmät, jotka tähtäävät kiristysohjelmiin tai taloudellisiin hyötyihin, Volt Typhoonin toiminta osoittaa strategista, pitkän aikavälin tavoitetta. Dragosin mukaan hakkerit:

• Säilytetty pitkäaikainen pääsy apulaitoksen operatiivisen teknologian (OT) verkkoon , joka ohjaa fyysistä infrastruktuuria.
• Varasti arkaluonteisia OT-tietoja , mukaan lukien toimintamenettelyt ja järjestelmäasettelut.
• Exfiltrated Geographic Information System (GIS) -tiedot , jotka sisältävät tärkeitä tietoja energiaverkon tila-asetelmasta.

Tämän tyyppinen älykkyys voi mahdollistaa tulevien kyberfyysisten hyökkäysten, joissa hakkerit eivät vain häiritse järjestelmiä etäältä, vaan tietävät myös tarkalleen, mihin kohdistaa suurimman vahingon.

Miksi tämä on suuri turvallisuushuoli?

Dragos varoitti, että vaikka Volt Typhoonin ei ole vielä havaittu aktiivisesti häiritsevän teollisia ohjausjärjestelmiä (ICS), niiden jatkuva pääsy ja tietojen suodattaminen merkitsevät mahdollisia valmisteluja tulevia hyökkäyksiä varten.

ICS Cyber Kill Chain luokittelee hyökkäykset useisiin vaiheisiin. Toistaiseksi Volt Typhoon näyttää olevan vaiheessa 1, johon liittyy tiedustelu ja tietovarkauksia. Jos ne kuitenkin etenevät vaiheeseen 2, he voivat kehittää ja testata kohdennettuja hyökkäyksiä Yhdysvaltain sähköverkkoihin, vesijärjestelmiin tai muuhun kriittiseen infrastruktuuriin.

Kiinan kybersodankäyntistrategia: perustan luominen tuleville hyökkäyksille?

Tämä tapaus sopii laajempaan kiinalaisen kybervakoilun malliin, joka kohdistuu Yhdysvaltain infrastruktuuriin. Turvallisuusasiantuntijat uskovat, että Volt Typhoonin kaltaiset ryhmät eivät vain suorita valvontaa, vaan luovat pohjan mahdollisille tuleville konflikteille.

Tunkeutumalla kriittisiin järjestelmiin ja kartoittamalla niitä vuosia etukäteen, Kiina voisi ryhtyä tuhoisiin kyberhyökkäuksiin, mikäli geopoliittiset jännitteet kasvavat. Tämä on linjassa Yhdysvaltain tiedustelupalvelujen aikaisempien varoitusten kanssa, jotka ovat varoittaneet, että Kiina tutkii aktiivisesti amerikkalaisen infrastruktuurin haavoittuvuuksia.

Vahvemman OT-suojauksen tarve

LELWD-tapahtuma toimii herätyssoittona kaikille apuohjelmille ja kriittisen infrastruktuurin tarjoajille. Monilta pienemmiltä julkisilta laitoksilta puuttuu suurempien organisaatioiden kyberturvallisuusresurssit, mikä tekee niistä houkuttelevia kohteita kansallisvaltioiden hakkereille.

Dragosin tapaustutkimus korostaa reaaliaikaisen seurannan, verkon segmentoinnin ja tunkeutumisen havaitsemisen merkitystä OT-ympäristöjen suojelemisessa. Ilman näitä puolustuskeinoja hakkerit voivat pysyä havaitsemattomina kuukausia tai jopa vuosia kerääessään tiedustelutietoja ja valmistautuessaan mahdolliseen kybersodankäyntiin.

Kasvava uhka, jota ei voi sivuuttaa

Volt Typhoon -hyökkäys LELWD:tä vastaan todistaa, että kansallisvaltioiden hakkerit ovat jo Yhdysvaltain kriittisen infrastruktuurin sisällä, eivät vain testaa puolustusta vaan keräävät aktiivisesti tiedustelutietoja mahdollisia tulevia hyökkäyksiä varten.

Kasvavien geopoliittisten jännitteiden ja kyberuhkien kehittyessä Yhdysvaltojen on asetettava etusijalle kyberpuolustusnsa vahvistaminen – ennen kuin on liian myöhäistä.