Čínski hackeri Volt Typhoon číhali v americkej elektrickej sieti takmer rok

Novo odhalený kybernetický útok odhalil znepokojivú realitu: čínska štátom podporovaná hackerská skupina známa ako Volt Typhoon tajne infiltrovala sieť americkej elektrickej siete a zostala neodhalená viac ako 300 dní. Útok, ktorý sa zameral na Littleton Electric Light and Water Departments (LELWD) v Massachusetts, poukazuje na rastúcu hrozbu pre kritickú infraštruktúru USA.

Vniknutie Voltovho tajfúnu: 300-dňová kybernetická špionážna operácia

Podľa bezpečnostnej firmy ICS/OT Dragos získal Volt Typhoon prístup k sieti LELWD vo februári 2023. Ich prítomnosť zostala nepovšimnutá až do novembra 2023, keď Dragos zistil narušenie počas implementácie svojich bezpečnostných riešení v obslužnom programe. Tento objav viedol k rýchlemu nasadeniu Dragosovej obrany na zmiernenie prielomu.

Volt Typhoon, tiež známy ako Voltzite, bol prvýkrát verejne identifikovaný v máji 2023 spoločnosťou Microsoft, ktorá spojila skupinu s čínskou vládou. Odvtedy si skupina získala reputáciu pre svoje vysoko sofistikované kyberšpionážne kampane zamerané na kritickú infraštruktúru USA.

O čo išlo hackerom?

Na rozdiel od typických skupín kyberzločincov, ktorých cieľom je ransomvér alebo finančný zisk, aktivity Volta Typhoonu naznačujú strategický, dlhodobý cieľ. Podľa Dragosa hackeri:

• Udržiavaný dlhodobý prístup k sieti prevádzkových technológií (OT) spoločnosti, ktorá riadi fyzickú infraštruktúru.
• Ukradli citlivé údaje súvisiace s OT vrátane prevádzkových postupov a usporiadania systému.
• Exfiltrované údaje geografického informačného systému (GIS) , ktoré obsahujú kritické podrobnosti o priestorovom usporiadaní energetickej siete.

Tento typ inteligencie by mohol v budúcnosti umožniť kybernetické fyzické útoky, pri ktorých hackeri nielenže narúšajú systémy na diaľku, ale tiež presne vedia, na čo sa majú zamerať, aby utrpeli maximálne škody.

Prečo ide o veľký bezpečnostný problém?

Dragos varoval, že zatiaľ čo Volt Typhoon ešte nebol pozorovaný, ako aktívne narúša priemyselné riadiace systémy (ICS), ich pretrvávajúci prístup a exfiltrácia údajov signalizujú potenciálne prípravy na budúce útoky.

ICS Cyber Kill Chain klasifikuje útoky do viacerých fáz. Zatiaľ sa zdá, že Volt Typhoon je v Stage 1, ktorá zahŕňa prieskum a krádež dát. Ak však postúpia do fázy 2, mohli by vyvinúť a otestovať cielené útoky na americké energetické siete, vodné systémy alebo inú kritickú infraštruktúru.

Čínska stratégia kybernetickej vojny: Položenie základov pre budúce útoky?

Tento incident zapadá do širšieho modelu čínskej kybernetickej špionáže zameranej na americkú infraštruktúru. Bezpečnostní experti sa domnievajú, že skupiny ako Volt Typhoon nevykonávajú len dohľad, ale kladú základy pre potenciálne budúce konflikty.

Infiltráciou a zmapovaním kritických systémov roky vopred by sa Čína mohla postaviť na spustenie ničivých kybernetických útokov v prípade eskalácie geopolitického napätia. To je v súlade s predchádzajúcimi varovaniami amerických spravodajských agentúr, ktoré varovali, že Čína aktívne skúma zraniteľnosť americkej infraštruktúry.

Potreba silnejšej OT bezpečnosti

Incident LELWD slúži ako budík pre všetkých poskytovateľov verejných služieb a kritickej infraštruktúry. Mnohým menším verejným službám chýbajú zdroje kybernetickej bezpečnosti väčších organizácií, čo z nich robí atraktívne ciele pre hackerov z národných štátov.

Dragosova prípadová štúdia zdôrazňuje dôležitosť monitorovania v reálnom čase, segmentácie siete a detekcie narušenia pri ochrane OT prostredí. Bez tejto ochrany môžu hackeri zostať neodhalení celé mesiace – alebo dokonca roky – zhromažďovať informácie a pripravovať sa na potenciálnu kybernetickú vojnu.

Rastúca hrozba, ktorú nemožno ignorovať

Útok Volt Typhoon na LELWD dokazuje, že hackeri z národných štátov sú už v kritickej infraštruktúre USA, nielen testujú obranu, ale aktívne zbierajú informácie pre potenciálne budúce útoky.

S rastúcim geopolitickým napätím a vyvíjajúcimi sa kybernetickými hrozbami musia USA uprednostniť posilnenie svojej kybernetickej obrany – kým nebude príliš neskoro.