A kínai Volt Typhoon hackerei csaknem egy évig lappangtak az Egyesült Államok elektromos hálózatában

Egy újonnan feltárt kibertámadás nyugtalanító valóságot tárt fel: a Volt Typhoon néven ismert, kínai állam által támogatott hackercsoport titokban behatolt egy amerikai elektromos szolgáltató hálózatába, és több mint 300 napig észrevétlen maradt. A massachusettsi Littleton Electric Light and Water Department (LELWD) ellen irányuló támadás rávilágít az Egyesült Államok kritikus infrastruktúrájára leselkedő növekvő veszélyre.

A Volt Typhoon Intrusion: 300 napos kiberkémművelet

Az ICS/OT biztonsági cég, a Dragos szerint a Volt Typhoon 2023 februárjában kapott hozzáférést a LELWD hálózatához. Jelenlétüket egészen 2023 novemberéig nem vették észre, amikor a Dragos észlelte a behatolást biztonsági megoldásainak a közműnél való megvalósítása során. Ez a felfedezés Dragos védelmének gyors ütemű bevetéséhez vezetett, hogy enyhítse a jogsértést.

A Volt Typhoon, más néven Voltzite, először 2023 májusában azonosította nyilvánosan a Microsoft, amely összekapcsolta a csoportot a kínai kormánnyal. Azóta a csoport hírnevet szerzett rendkívül kifinomult kiberkémkedési kampányaival , amelyek az Egyesült Államok kritikus infrastruktúráját célozzák meg.

Mit kerestek a hackerek?

A tipikus kiberbűnözői csoportoktól eltérően, amelyek zsarolóprogramokat vagy pénzügyi haszonszerzést céloznak, a Volt Typhoon tevékenysége stratégiai, hosszú távú célt jelez. Dragos szerint a hackerek:

• Fenntartott hosszú távú hozzáférést biztosít a közmű működési technológiai (OT) hálózatához , amely vezérli a fizikai infrastruktúrát.
• Érzékeny, OT-val kapcsolatos adatokat loptak el , beleértve a működési eljárásokat és a rendszerelrendezéseket.
• Kiszűrt földrajzi információs rendszer (GIS) adatai , amelyek kritikus részleteket tartalmaznak az energiahálózat térbeli elrendezéséről.

Az ilyen típusú intelligencia lehetővé teheti a jövőbeli kiber-fizikai támadásokat, ahol a hackerek nemcsak távolról zavarják meg a rendszereket, hanem pontosan tudják, hogy mit kell célozniuk a maximális kár érdekében.

Miért jelent ez komoly biztonsági aggályt?

Dragos figyelmeztetett, hogy bár a Volt Typhoont még nem figyelték meg, hogy aktívan megzavarná az ipari vezérlőrendszereket (ICS), a folyamatos hozzáférésük és az adatok kiszűrése a jövőbeli támadások lehetséges felkészülését jelzi.

Az ICS Cyber Kill Chain a támadásokat több szakaszra osztja. Eddig úgy tűnik, hogy a Volt Typhoon az 1. szakaszban van, ami felderítéssel és adatlopással jár. Ha azonban eljutnak a 2. szakaszba, célzott támadásokat dolgozhatnak ki és tesztelhetnek az Egyesült Államok elektromos hálózatai, vízrendszerei vagy más kritikus infrastruktúrák ellen.

Kína kiberhadviselési stratégiája: a jövőbeli támadások megalapozása?

Ez az incidens beleillik a kínai kiberkémkedés szélesebb mintájába, amelyek az Egyesült Államok infrastruktúráját célozzák meg. Biztonsági szakértők úgy vélik, hogy az olyan csoportok, mint a Volt Typhoon, nemcsak megfigyelést végeznek, hanem megalapozzák a lehetséges jövőbeni konfliktusokat.

A kritikus rendszerek évekkel előre történő beszivárgásával és feltérképezésével Kína képes lenne pusztító kibertámadásokat indítani a geopolitikai feszültségek fokozódása esetén. Ez összhangban van az amerikai hírszerző ügynökségek korábbi figyelmeztetéseivel, amelyek arra figyelmeztettek, hogy Kína aktívan vizsgálja az amerikai infrastruktúra sebezhetőségét.

Erősebb OT-biztonság szükségessége

A LELWD incidens ébresztőként szolgál minden közszolgáltató és kritikus infrastruktúra-szolgáltató számára. Sok kisebb közszolgáltató nem rendelkezik a nagyobb szervezetek kiberbiztonsági erőforrásaival, így vonzó célpontok a nemzetállami hackerek számára.

Dragos esettanulmánya hangsúlyozza a valós idejű megfigyelés, a hálózatszegmentálás és a behatolásészlelés fontosságát az OT környezetek védelmében. E védelem nélkül a hackerek hónapokig – vagy akár évekig – észrevétlenül maradhatnak, és intelligenciát gyűjtenek, és felkészülhetnek a potenciális kiberhadviselésre.

Növekvő fenyegetés, amelyet nem lehet figyelmen kívül hagyni

A Volt Typhoon LELWD elleni támadása azt bizonyítja, hogy a nemzetállami hackerek már az Egyesült Államok kritikus infrastruktúrájában vannak, és nemcsak a védelmet tesztelik, hanem aktívan gyűjtik a hírszerzési információkat a lehetséges jövőbeli támadásokhoz.

A növekvő geopolitikai feszültségek és a kiberfenyegetések kialakulása miatt az Egyesült Államoknak prioritásként kell kezelnie kibervédelmének megerősítését – még mielőtt túl késő lenne.