Gli hacker cinesi del Volt Typhoon si sono nascosti nella rete elettrica degli Stati Uniti per quasi un anno

Entro Mura nel Sicurezza informatica

Traduci in:

Un cyberattacco appena rivelato ha esposto una realtà inquietante: un gruppo di hacker sponsorizzato dallo stato cinese noto come Volt Typhoon si è infiltrato segretamente nella rete di un'azienda elettrica statunitense ed è rimasto inosservato per oltre 300 giorni. L'attacco, che ha preso di mira i dipartimenti di Littleton Electric Light and Water (LELWD) nel Massachusetts, evidenzia la crescente minaccia alle infrastrutture critiche statunitensi.

Sommario

L'intrusione del Volt Typhoon: un'operazione di cyberspionaggio durata 300 giorni

Secondo la società di sicurezza ICS/OT Dragos, Volt Typhoon ha ottenuto l'accesso alla rete di LELWD nel febbraio 2023. La loro presenza è passata inosservata fino a novembre 2023, quando Dragos ha rilevato l'intrusione durante l'implementazione delle sue soluzioni di sicurezza presso l'azienda di servizi. Questa scoperta ha portato a un'implementazione accelerata delle difese di Dragos per mitigare la violazione.

Volt Typhoon, noto anche come Voltzite, è stato identificato pubblicamente per la prima volta nel maggio 2023 da Microsoft, che ha collegato il gruppo al governo cinese. Da allora, il gruppo si è guadagnato una reputazione per le sue campagne di cyber spionaggio altamente sofisticate, che prendono di mira le infrastrutture critiche degli Stati Uniti.

Cosa cercavano gli hacker?

A differenza dei tipici gruppi di criminali informatici che mirano al ransomware o al guadagno finanziario, le attività di Volt Typhoon indicano un obiettivo strategico a lungo termine. Secondo Dragos, gli hacker:

Mantenuto l'accesso a lungo termine alla rete tecnologica operativa (OT) dell'azienda di servizi, che controlla l'infrastruttura fisica.
Ha rubato dati sensibili relativi all'OT , tra cui procedure operative e layout di sistema.
Dati GIS (Geographic Information System) esfiltrati , che contengono dettagli critici sulla configurazione spaziale della rete energetica.

Questo tipo di intelligence potrebbe consentire futuri attacchi ciberfisici, in cui gli hacker non solo interrompono i sistemi da remoto, ma sanno anche esattamente cosa colpire per causare il massimo danno.

Perché questo è un problema di sicurezza importante?

Dragos ha avvertito che, sebbene Volt Typhoon non sia stato ancora osservato mentre interferisce attivamente con i sistemi di controllo industriale (ICS), il suo accesso persistente e l'esfiltrazione dei dati segnalano potenziali preparativi per futuri attacchi.

L'ICS Cyber Kill Chain classifica gli attacchi in più fasi. Finora, Volt Typhoon sembra essere alla Fase 1, che comprende ricognizione e furto di dati. Tuttavia, se passa alla Fase 2, potrebbe sviluppare e testare attacchi mirati alle reti elettriche, ai sistemi idrici o ad altre infrastrutture critiche degli Stati Uniti.

La strategia di guerra informatica della Cina: gettare le basi per futuri attacchi?

Questo incidente rientra in un modello più ampio di cyberspionaggio cinese che prende di mira le infrastrutture statunitensi. Gli esperti di sicurezza ritengono che gruppi come Volt Typhoon non stiano solo conducendo attività di sorveglianza, ma stiano anche gettando le basi per potenziali conflitti futuri.

Infiltrandosi e mappando i sistemi critici con anni di anticipo, la Cina potrebbe posizionarsi per lanciare attacchi informatici devastanti in caso di crescenti tensioni geopolitiche. Ciò è in linea con i precedenti avvertimenti delle agenzie di intelligence statunitensi, che hanno avvertito che la Cina sta attivamente sondando le infrastrutture americane alla ricerca di vulnerabilità.

La necessità di una maggiore sicurezza OT

L'incidente LELWD funge da campanello d'allarme per tutti i fornitori di servizi di pubblica utilità e infrastrutture critiche. Molti servizi di pubblica utilità più piccoli non dispongono delle risorse di sicurezza informatica delle organizzazioni più grandi, il che li rende obiettivi allettanti per gli hacker degli stati nazionali.

Il caso di studio di Dragos sottolinea l'importanza del monitoraggio in tempo reale, della segmentazione della rete e del rilevamento delle intrusioni nella protezione degli ambienti OT. Senza queste difese, gli hacker possono rimanere inosservati per mesi, o persino anni, raccogliendo informazioni e preparandosi per una potenziale guerra informatica.

Una minaccia crescente che non può essere ignorata

L'attacco Volt Typhoon al LELWD dimostra che gli hacker degli stati nazionali sono già all'interno delle infrastrutture critiche degli Stati Uniti, non solo per testare le difese, ma anche per raccogliere attivamente informazioni per potenziali attacchi futuri.

Con l'aumento delle tensioni geopolitiche e l'evoluzione delle minacce informatiche, gli Stati Uniti devono dare priorità al rafforzamento delle proprie difese informatiche, prima che sia troppo tardi.

La dichiarazione di fallimento del processore di pagamento di EnigmaSoft Digital River GmbH non influisce sulla protezione anti-malware dei clienti di SpyHunter

Ricerca

Cambia regione