Kinijos voltų taifūno įsilaužėliai beveik metus tykojo JAV elektros tinkle
Naujai atskleista kibernetinė ataka atskleidė nerimą keliančią realybę: Kinijos valstybės remiama programišių grupė, žinoma kaip „Volt Typhoon“, slapta įsiskverbė į JAV elektros įmonės tinklą ir liko nepastebėta daugiau nei 300 dienų. Išpuolis, nukreiptas į Littleton Electric Light and Water departamentus (LELWD) Masačusetso valstijoje, pabrėžia didėjančią grėsmę JAV kritinei infrastruktūrai.
Turinys
Volto taifūno įsiveržimas: 300 dienų kibernetinio šnipinėjimo operacija
Pasak ICS/OT saugos įmonės „Dragos“, „Volt Typhoon“ gavo prieigą prie LELWD tinklo 2023 m. vasario mėn. Jų buvimas buvo nepastebėtas iki 2023 m. lapkričio mėn., kai „Dragos“ aptiko įsibrovimą diegdama savo saugos sprendimus komunalinėje įmonėje. Šis atradimas paskatino paspartinti Dragoso gynybos priemonių panaudojimą, kad būtų sumažintas pažeidimas.
Volt Typhoon, taip pat žinomas kaip Voltzite, pirmą kartą viešai atpažino 2023 m. gegužę Microsoft, kuri susiejo grupę su Kinijos vyriausybe. Nuo tada grupė įgijo reputaciją dėl labai sudėtingų kibernetinio šnipinėjimo kampanijų , nukreiptų į JAV kritinę infrastruktūrą.
Ko siekė įsilaužėliai?
Skirtingai nuo įprastų kibernetinių nusikaltėlių grupių, kurios siekia išpirkos reikalaujančių programų ar finansinės naudos, Volt Typhoon veikla rodo strateginį ilgalaikį tikslą. Pasak Dragoso, įsilaužėliai:
- Išlaikoma ilgalaikė prieiga prie komunalinių paslaugų operatyvinių technologijų (OT) tinklo , kuris valdo fizinę infrastruktūrą.
- Pavogė jautrius su OT susijusius duomenis , įskaitant veiklos procedūras ir sistemos išdėstymą.
- Išfiltruoti geografinės informacijos sistemos (GIS) duomenys , kuriuose yra svarbios informacijos apie energijos tinklo erdvinį išdėstymą.
Tokio tipo žvalgyba ateityje gali leisti vykdyti kibernetines fizines atakas, kai įsilaužėliai ne tik nuotoliniu būdu sutrikdo sistemas, bet ir tiksliai žino, į ką nukreipti, kad padarytų didžiausią žalą.
Kodėl tai yra pagrindinis saugumo susirūpinimas?
Dragosas perspėjo, kad nors dar nepastebėta, kad „Volt Typhoon“ aktyviai trikdytų pramonės valdymo sistemas (ICS), nuolatinė jų prieiga ir duomenų eksfiltracija rodo galimą pasiruošimą būsimoms atakoms.
ICS Cyber Kill Chain atakas klasifikuoja į kelis etapus. Kol kas atrodo, kad „Volt Typhoon“ yra 1 stadijoje, kuri apima žvalgybą ir duomenų vagystes. Tačiau jei jie pereis į 2 etapą, jie galėtų sukurti ir išbandyti tikslines atakas prieš JAV elektros tinklus, vandens sistemas ar kitą svarbią infrastruktūrą.
Kinijos kibernetinio karo strategija: būsimų išpuolių pagrindas?
Šis incidentas atitinka platesnį Kinijos kibernetinio šnipinėjimo modelį, nukreiptą į JAV infrastruktūrą. Saugumo ekspertai mano, kad tokios grupės kaip „Volt Typhoon“ ne tik stebi, bet ir kloja pagrindą galimiems būsimiems konfliktams.
Įsiskverbdama ir nubrėždama kritines sistemas prieš daugelį metų, Kinija galėtų imtis niokojančių kibernetinių atakų, jei padidėtų geopolitinė įtampa. Tai atitinka ankstesnius JAV žvalgybos agentūrų įspėjimus, perspėjusius, kad Kinija aktyviai tiria Amerikos infrastruktūros pažeidžiamumą.
Stipresnio OT saugumo poreikis
LELWD incidentas yra pažadinimo skambutis visoms komunalinėms paslaugoms ir ypatingos svarbos infrastruktūros tiekėjams. Daugeliui mažesnių komunalinių paslaugų trūksta didesnių organizacijų kibernetinio saugumo išteklių, todėl jos yra patrauklios nacionalinės valstybės įsilaužėlių taikiniams.
Dragoso atvejo tyrimas pabrėžia stebėjimo realiuoju laiku, tinklo segmentavimo ir įsibrovimo aptikimo svarbą saugant OT aplinką. Be šių apsaugos priemonių įsilaužėliai gali likti nepastebėti mėnesius ar net metus, rinkdami žvalgybos informaciją ir ruošdamiesi galimam kibernetiniam karui.
Didėjanti grėsmė, kurios negalima ignoruoti
„Volt Typhoon“ ataka prieš LELWD įrodo, kad nacionalinių valstybių įsilaužėliai jau yra JAV ypatingos svarbos infrastruktūros viduje ir ne tik išbando gynybą, bet ir aktyviai renka žvalgybos informaciją galimoms būsimoms atakoms.
Didėjant geopolitinei įtampai ir kibernetinėms grėsmėms, JAV turi teikti pirmenybę savo kibernetinės gynybos stiprinimui – kol dar ne vėlu.