האקרים של וולט טייפון בסין ארבו ברשת החשמל בארה"ב במשך כמעט שנה

מתקפת סייבר שנחשפה לאחרונה חשפה מציאות מטרידה: קבוצת פריצה בחסות המדינה הסינית הידועה בשם Volt Typhoon חדרה בחשאי לרשת של חברת חשמל בארה"ב ונותרה ללא זיהוי במשך יותר מ-300 ימים. המתקפה, שכיוונה את מחלקות האור והמים החשמליות של ליטלטון (LELWD) במסצ'וסטס, מדגישה את האיום הגובר על התשתית הקריטית בארה"ב.

חדירת וולט טייפון: מבצע ריגול סייבר בן 300 יום

לפי חברת האבטחה ICS/OT Dragos, Volt Typhoon השיגה גישה לרשת של LELWD בפברואר 2023. נוכחותם לא הייתה מורגשת עד לנובמבר 2023, אז זיהה Dragos את החדירה במהלך יישום פתרונות האבטחה שלה בשירות. גילוי זה הוביל לפריסה מהירה של ההגנות של דראגוס כדי למתן את הפרצה.

וולט טייפון, הידוע גם בשם Voltzite, זוהה לראשונה בפומבי במאי 2023 על ידי מיקרוסופט, שקישרת את הקבוצה לממשלת סין. מאז, הקבוצה צברה מוניטין בזכות מסעות ריגול הסייבר המתוחכמים ביותר שלה, המכוונים לתשתית קריטית בארה"ב.

מה חיפשו ההאקרים?

בניגוד לקבוצות פושעי סייבר טיפוסיות שמטרתן תוכנות כופר או רווח כספי, הפעילות של וולט טייפון מעידה על מטרה אסטרטגית ארוכת טווח. לפי דרגוס, ההאקרים:

• שמר על גישה ארוכת טווח לרשת הטכנולוגיה התפעולית (OT) של השירות, השולטת בתשתית פיזית.
• גנב נתונים רגישים הקשורים ל-OT , כולל נהלים תפעוליים ופריסות מערכת.
• נתוני מערכת מידע גיאוגרפית מוגברת (GIS) , המכילים פרטים קריטיים על הפריסה המרחבית של רשת האנרגיה.

סוג זה של מודיעין יכול לאפשר התקפות סייבר-פיזיות עתידיות, שבהן האקרים לא רק משבשים מערכות מרחוק, אלא גם יודעים בדיוק למה לכוון לנזק מקסימלי.

למה זה חשש ביטחוני גדול?

דרגוס הזהיר כי בעוד שוולט טייפון עדיין לא נצפה משבש באופן פעיל את מערכות הבקרה התעשייתיות (ICS), הגישה המתמשכת וחילוץ הנתונים שלהם מאותתות על הכנות פוטנציאליות להתקפות עתידיות.

ICS Cyber Kill Chain מסווג התקפות למספר שלבים. עד כה, נראה שוולט טייפון נמצא בשלב 1, הכרוך בסיור וגניבת נתונים. עם זאת, אם הם יתקדמו לשלב 2, הם יוכלו לפתח ולבדוק התקפות ממוקדות על רשתות חשמל, מערכות מים או תשתית קריטית אחרת בארה"ב.

אסטרטגיית לוחמת הסייבר של סין: הנחת היסוד להתקפות עתידיות?

תקרית זו משתלבת בדפוס רחב יותר של ריגול סייבר סיני המכוון לתשתית ארה"ב. מומחי אבטחה מאמינים שקבוצות כמו וולט טייפון לא רק מבצעות מעקב אלא מניחות את התשתית לסכסוכים עתידיים אפשריים.

על ידי הסתננות ומיפוי של מערכות קריטיות שנים מראש, סין תוכל למצב את עצמה ליזום התקפות סייבר הרסניות במקרה של הסלמה של מתחים גיאופוליטיים. זה עולה בקנה אחד עם אזהרות קודמות של סוכנויות ביון אמריקאיות, שהזהירו כי סין בודקת באופן פעיל בתשתית אמריקאית לאיתור נקודות תורפה.

הצורך באבטחת OT חזקה יותר

תקרית LELWD משמשת קריאת השכמה לכל שירותי השירות וספקי התשתית הקריטיים. לחברות שירות ציבוריות קטנות רבות חסרים משאבי אבטחת סייבר של ארגונים גדולים יותר, מה שהופך אותם למטרות אטרקטיביות עבור האקרים של מדינות לאום.

מחקר המקרה של Dragos מדגיש את החשיבות של ניטור בזמן אמת, פילוח רשת וזיהוי פריצות בהגנה על סביבות OT. ללא הגנות אלו, האקרים יכולים להישאר ללא זיהוי במשך חודשים - או אפילו שנים - באיסוף מודיעין והתכוננות ללוחמת סייבר אפשרית.

איום הולך וגובר שאי אפשר להתעלם ממנו

מתקפת וולט טייפון על LELWD מוכיחה שהאקרים של מדינות לאום כבר נמצאים בתוך תשתית קריטית בארה"ב, לא רק בודקים הגנות אלא אוספים באופן פעיל מידע מודיעיני למתקפות עתידיות אפשריות.

עם התפתחות המתחים הגיאופוליטיים ואיומי הסייבר, ארה"ב חייבת לתעדף את חיזוק הגנת הסייבר שלה - לפני שיהיה מאוחר מדי.