Kinas Volt Typhoon Hackere lurte i USAs elektriske nett i nesten et år
Et nylig avslørt nettangrep har avslørt en urovekkende realitet: en kinesisk statsstøttet hackergruppe kjent som Volt Typhoon infiltrerte i hemmelighet et amerikansk elektrisk selskaps nettverk og forble uoppdaget i over 300 dager. Angrepet, som var rettet mot Littleton Electric Light and Water Departments (LELWD) i Massachusetts, fremhever den økende trusselen mot amerikansk kritisk infrastruktur.
Innholdsfortegnelse
The Volt Typhoon Intrusion: En 300-dagers cyberspionasjeoperasjon
I følge ICS/OT-sikkerhetsfirmaet Dragos, fikk Volt Typhoon tilgang til LELWDs nettverk i februar 2023. Deres tilstedeværelse gikk upåaktet hen til november 2023, da Dragos oppdaget innbruddet under implementeringen av sikkerhetsløsningene hos verktøyet. Denne oppdagelsen førte til en rask utplassering av Dragos' forsvar for å dempe bruddet.
Volt Typhoon, også kjent som Voltzite, ble først offentlig identifisert i mai 2023 av Microsoft, som knyttet gruppen til den kinesiske regjeringen. Siden den gang har gruppen fått et rykte for sine svært sofistikerte nettspionasjekampanjer , rettet mot amerikansk kritisk infrastruktur.
Hva var hackerne ute etter?
I motsetning til typiske nettkriminelle grupper som sikter på løsepengevare eller økonomisk gevinst, indikerer Volt Typhoons aktiviteter et strategisk, langsiktig mål. Ifølge Dragos, hackerne:
- Opprettholdt langsiktig tilgang til verktøyets driftsteknologiske (OT) nettverk , som kontrollerer fysisk infrastruktur.
- Stjal sensitive OT-relaterte data , inkludert operasjonelle prosedyrer og systemoppsett.
- Eksfiltrert geografisk informasjonssystem (GIS) data , som inneholder kritiske detaljer om energinettets romlige layout.
Denne typen etterretning kan tillate fremtidige cyber-fysiske angrep, der hackere ikke bare fjerner systemer, men også vet nøyaktig hva de skal målrette mot for maksimal skade.
Hvorfor er dette et stort sikkerhetsproblem?
Dragos advarte om at mens Volt Typhoon ennå ikke har blitt observert aktivt forstyrre industrielle kontrollsystemer (ICS), signaliserer deres vedvarende tilgang og dataeksfiltrering potensielle forberedelser for fremtidige angrep.
ICS Cyber Kill Chain klassifiserer angrep i flere stadier. Så langt ser det ut til at Volt Typhoon er på trinn 1, som involverer rekognosering og datatyveri. Men hvis de går videre til trinn 2, kan de utvikle og teste målrettede angrep på amerikanske strømnett, vannsystemer eller annen kritisk infrastruktur.
Kinas strategi for cyberkrigføring: Legge grunnlaget for fremtidige angrep?
Denne hendelsen passer inn i et bredere mønster av kinesisk cyberspionasje rettet mot amerikansk infrastruktur. Sikkerhetseksperter mener grupper som Volt Typhoon ikke bare utfører overvåking, men legger grunnlaget for potensielle fremtidige konflikter.
Ved å infiltrere og kartlegge kritiske systemer år i forveien, kan Kina posisjonere seg for å starte ødeleggende nettangrep i tilfelle eskalerende geopolitiske spenninger. Dette er i tråd med tidligere advarsler fra amerikanske etterretningsbyråer, som har advart om at Kina aktivt undersøker amerikansk infrastruktur for sårbarheter.
Behovet for sterkere OT-sikkerhet
LELWD-hendelsen fungerer som en vekker for alle verktøy og leverandører av kritisk infrastruktur. Mange mindre offentlige verktøy mangler cybersikkerhetsressursene til større organisasjoner, noe som gjør dem attraktive mål for nasjonalstatshackere.
Dragos' casestudie understreker viktigheten av sanntidsovervåking, nettverkssegmentering og inntrengningsdeteksjon for å beskytte OT-miljøer. Uten disse forsvarene kan hackere forbli uoppdaget i måneder – eller til og med år – for å samle etterretning og forberede seg på potensiell cyberkrigføring.
En voksende trussel som ikke kan ignoreres
Volt Typhoon-angrepet på LELWD beviser at nasjonalstatshackere allerede er inne i amerikansk kritisk infrastruktur, ikke bare tester forsvar, men aktivt samler etterretning for potensielle fremtidige angrep.
Med økende geopolitiske spenninger og cybertrusler i utvikling, må USA prioritere å styrke sitt cyberforsvar – før det er for sent.