Hakerzy chińskiego Volta Typhoona czaili się w amerykańskiej sieci energetycznej przez prawie rok

Niedawno ujawniony cyberatak ujawnił niepokojącą rzeczywistość: chińska grupa hakerska, sponsorowana przez państwo, znana jako Volt Typhoon, potajemnie zinfiltrowała sieć amerykańskiej firmy energetycznej i pozostała niewykryta przez ponad 300 dni. Atak, którego celem był Littleton Electric Light and Water Departments (LELWD) w Massachusetts, podkreśla rosnące zagrożenie dla amerykańskiej infrastruktury krytycznej.

Włamanie do Volt Typhoon: 300-dniowa operacja cybernetycznego szpiegostwa

Według firmy ochroniarskiej ICS/OT Dragos, Volt Typhoon uzyskał dostęp do sieci LELWD w lutym 2023 r. Ich obecność pozostała niezauważona aż do listopada 2023 r., kiedy Dragos wykrył włamanie podczas wdrażania swoich rozwiązań bezpieczeństwa w zakładzie użyteczności publicznej. To odkrycie doprowadziło do przyspieszonego wdrożenia zabezpieczeń Dragos w celu złagodzenia naruszenia.

Volt Typhoon, znany również jako Voltzite, został po raz pierwszy publicznie zidentyfikowany w maju 2023 r. przez Microsoft, co powiązało grupę z chińskim rządem. Od tego czasu grupa zyskała reputację dzięki wysoce wyrafinowanym kampaniom cybernetycznego szpiegostwa , których celem jest krytyczna infrastruktura USA.

Czego chcieli hakerzy?

W przeciwieństwie do typowych grup cyberprzestępczych, których celem jest ransomware lub zysk finansowy, działania Volt Typhoon wskazują na strategiczny, długoterminowy cel. Według Dragosa hakerzy:

• Utrzymywany jest długoterminowy dostęp do sieci technologii operacyjnej (OT) przedsiębiorstwa użyteczności publicznej, która kontroluje infrastrukturę fizyczną.
• Kradzież poufnych danych związanych z OT , w tym procedur operacyjnych i układów systemów.
• Wyekstrahowane dane z systemu informacji geograficznej (GIS) , zawierające istotne szczegóły dotyczące układu przestrzennego sieci energetycznej.

Ten rodzaj informacji wywiadowczych może umożliwić przeprowadzanie w przyszłości ataków cyberfizycznych, w ramach których hakerzy nie tylko zdalnie zakłócają działanie systemów, ale także wiedzą dokładnie, co atakować, aby wyrządzić jak największe szkody.

Dlaczego jest to poważny problem bezpieczeństwa?

Dragos ostrzegł, że choć nie zaobserwowano jeszcze robaka Volt Typhoon aktywnie zakłócającego działanie przemysłowych systemów sterowania (ICS), jego stały dostęp i eksfiltracja danych mogą świadczyć o przygotowaniach do przyszłych ataków.

ICS Cyber Kill Chain klasyfikuje ataki na wiele etapów. Jak dotąd Volt Typhoon wydaje się być na etapie 1, który obejmuje rozpoznanie i kradzież danych. Jednak jeśli przejdą do etapu 2, mogą opracować i przetestować ukierunkowane ataki na amerykańskie sieci energetyczne, systemy wodne lub inną krytyczną infrastrukturę.

Strategia wojny cybernetycznej Chin: czy stanowi podstawę przyszłych ataków?

Ten incydent wpisuje się w szerszy schemat chińskiego cybernetycznego szpiegostwa, którego celem jest infrastruktura USA. Eksperci ds. bezpieczeństwa uważają, że grupy takie jak Volt Typhoon nie tylko prowadzą nadzór, ale także przygotowują grunt pod potencjalne przyszłe konflikty.

Dzięki infiltracji i mapowaniu krytycznych systemów z wyprzedzeniem wielu lat Chiny mogłyby przygotować się do przeprowadzenia niszczycielskich cyberataków w przypadku eskalacji napięć geopolitycznych. Jest to zgodne z poprzednimi ostrzeżeniami amerykańskich agencji wywiadowczych, które ostrzegały, że Chiny aktywnie badają amerykańską infrastrukturę pod kątem luk w zabezpieczeniach.

Potrzeba silniejszego bezpieczeństwa OT

Incydent LELWD jest sygnałem ostrzegawczym dla wszystkich dostawców usług komunalnych i infrastruktury krytycznej. Wiele mniejszych przedsiębiorstw użyteczności publicznej nie ma zasobów cyberbezpieczeństwa większych organizacji, co czyni je atrakcyjnymi celami dla hakerów z państw narodowych.

Studium przypadku Dragosa podkreśla znaczenie monitorowania w czasie rzeczywistym, segmentacji sieci i wykrywania włamań w ochronie środowisk OT. Bez tych zabezpieczeń hakerzy mogą pozostać niewykryci przez miesiące — a nawet lata — zbierając informacje wywiadowcze i przygotowując się do potencjalnej cyberwojny.

Rosnące zagrożenie, którego nie można ignorować

Atak Volta Typhoona na LELWD dowodzi, że hakerzy z państw już włamali się do krytycznej infrastruktury USA, nie tylko testując obronę, ale także aktywnie gromadząc informacje wywiadowcze na potrzeby potencjalnych przyszłych ataków.

W obliczu rosnących napięć geopolitycznych i nowych zagrożeń cybernetycznych Stany Zjednoczone muszą nadać priorytet wzmocnieniu swojej obrony cybernetycznej – zanim będzie za późno.