Ķīnas Volt Typhoon Hackers slēpās ASV elektrotīklā gandrīz gadu
Nesen atklāts kiberuzbrukums ir atklājis satraucošu realitāti: Ķīnas valsts sponsorēta hakeru grupa, kas pazīstama kā Volt Typhoon, slepeni iefiltrējās ASV elektrotīkla tīklā un palika neatklāta vairāk nekā 300 dienas. Uzbrukums, kura mērķis bija Littleton Electric Light and Water Department (LELWD) Masačūsetsā, liecina par pieaugošajiem draudiem ASV kritiskajai infrastruktūrai.
Satura rādītājs
Volta taifūna ielaušanās: 300 dienu kiberspiegošanas operācija
Saskaņā ar ICS/OT drošības firmas Dragos datiem Volt Typhoon piekļuvi LELWD tīklam ieguva 2023. gada februārī. Viņu klātbūtne palika nepamanīta līdz 2023. gada novembrim, kad Dragos atklāja ielaušanos, ieviešot savus drošības risinājumus utilītprogrammā. Šis atklājums noveda pie Dragosa aizsardzības līdzekļu ātras izvietošanas, lai mazinātu pārkāpumu.
Volt Typhoon, kas pazīstams arī kā Voltzite, pirmo reizi publiski identificēja 2023. gada maijā Microsoft, kas saistīja grupu ar Ķīnas valdību. Kopš tā laika grupa ir ieguvusi reputāciju ar savām ļoti sarežģītajām kiberspiegošanas kampaņām , kuru mērķauditorija ir ASV kritiskā infrastruktūra.
Ko meklēja hakeri?
Atšķirībā no tipiskām kibernoziedznieku grupām, kuru mērķis ir izpirkuma programmatūra vai finansiāls ieguvums, Volt Typhoon darbības norāda uz stratēģisku, ilgtermiņa mērķi. Pēc Dragosa teiktā, hakeri:
- Uzturēta ilgtermiņa piekļuve utilītas darbības tehnoloģiju (OT) tīklam , kas kontrolē fizisko infrastruktūru.
- Nozaga sensitīvus ar OT saistītus datus , tostarp darbības procedūras un sistēmas izkārtojumus.
- Eksfiltrēti ģeogrāfiskās informācijas sistēmas (GIS) dati , kas satur svarīgu informāciju par energotīkla telpisko izkārtojumu.
Šāda veida izlūkdati varētu pieļaut turpmākus kiberfiziskus uzbrukumus, kuros hakeri ne tikai attālināti traucē sistēmas, bet arī precīzi zina, uz ko vērsties, lai radītu maksimālu kaitējumu.
Kāpēc tas ir galvenais drošības jautājums?
Dragoss brīdināja, ka, lai gan vēl nav novērots, ka Volt Typhoon aktīvi traucē rūpnieciskās kontroles sistēmas (ICS), to pastāvīgā piekļuve un datu eksfiltrācija liecina par iespējamu sagatavošanos turpmākiem uzbrukumiem.
ICS Cyber Kill Chain klasificē uzbrukumus vairākos posmos. Līdz šim šķiet, ka Volt Typhoon atrodas 1. stadijā, kas ietver izlūkošanu un datu zādzību. Tomēr, ja tie nonāks 2. posmā, viņi varētu izstrādāt un pārbaudīt mērķtiecīgus uzbrukumus ASV elektrotīkliem, ūdens sistēmām vai citai kritiskai infrastruktūrai.
Ķīnas kiberkara stratēģija: kā likt pamatus turpmākiem uzbrukumiem?
Šis incidents iekļaujas plašākā Ķīnas kiberspiegošanas modelī, kuras mērķis ir ASV infrastruktūra. Drošības eksperti uzskata, ka tādas grupas kā Volt Typhoon ne tikai veic novērošanu, bet arī liek pamatu iespējamiem turpmākiem konfliktiem.
Iefiltrējoties un iezīmējot kritiskās sistēmas vairākus gadus iepriekš, Ķīna varētu veikt postošus kiberuzbrukumus ģeopolitiskās spriedzes saasināšanās gadījumā. Tas saskan ar iepriekšējiem ASV izlūkošanas aģentūru brīdinājumiem, kas brīdināja, ka Ķīna aktīvi pārbauda Amerikas infrastruktūras ievainojamības.
Nepieciešamība pēc spēcīgākas OT drošības
LELWD incidents kalpo kā trauksmes zvans visiem komunālajiem pakalpojumiem un kritiskās infrastruktūras nodrošinātājiem. Daudziem mazākiem komunālajiem pakalpojumiem trūkst lielāku organizāciju kiberdrošības resursu, tāpēc tie ir pievilcīgi mērķi nacionālo valstu hakeriem.
Dragosa gadījuma pētījums uzsver reāllaika uzraudzības, tīkla segmentācijas un ielaušanās noteikšanas nozīmi OT vides aizsardzībā. Bez šiem aizsardzības līdzekļiem hakeri var palikt neatklāti mēnešiem vai pat gadiem, vācot izlūkdatus un gatavojoties potenciālajam kiberkaram.
Pieaugošs drauds, kuru nevar ignorēt
Volt Typhoon uzbrukums LELWD pierāda, ka nacionālo valstu hakeri jau atrodas ASV kritiskajā infrastruktūrā, ne tikai pārbaudot aizsardzību, bet arī aktīvi vācot izlūkdatus iespējamiem turpmākiem uzbrukumiem.
Pieaugot ģeopolitiskajai spriedzei un attīstoties kiberdraudiem, ASV par prioritāti jāizvirza savas kiberaizsardzības stiprināšana — pirms nav par vēlu.