Kitajski hekerji Volt Typhoon so se skoraj eno leto skrivali v ameriškem električnem omrežju

Nedavno razkriti kibernetski napad je razkril vznemirljivo resničnost: hekerska skupina Volt Typhoon, ki jo sponzorira kitajska država, se je na skrivaj infiltrirala v omrežje ameriškega električnega podjetja in ostala neodkrita več kot 300 dni. Napad, katerega tarča je bil Littleton Electric Light and Water Departments (LELWD) v Massachusettsu, poudarja naraščajočo grožnjo kritični infrastrukturi ZDA.

Vdor Volt Typhoon: 300-dnevna kibernetska vohunska operacija

Po podatkih varnostnega podjetja ICS/OT Dragos je Volt Typhoon pridobil dostop do omrežja LELWD februarja 2023. Njihova prisotnost je ostala neopažena do novembra 2023, ko je Dragos zaznal vdor med izvajanjem svojih varnostnih rešitev v komunalnem podjetju. To odkritje je vodilo do hitre uporabe Dragosove obrambe za ublažitev kršitve.

Volt Typhoon, znan tudi kot Voltzite, je maja 2023 prvič javno identificiral Microsoft, ki je skupino povezal s kitajsko vlado. Od takrat si je skupina pridobila sloves zaradi svojih zelo sofisticiranih kibernetskih vohunskih kampanj , ki ciljajo na kritično infrastrukturo ZDA.

Kaj so iskali hekerji?

V nasprotju s tipičnimi skupinami kibernetskega kriminala, katerih cilj je izsiljevalska programska oprema ali finančni dobiček, dejavnosti Volt Typhoon kažejo strateški, dolgoročni cilj. Po Dragoševih besedah hekerji:

• Ohranjen dolgoročen dostop do omrežja operativne tehnologije (OT) , ki nadzoruje fizično infrastrukturo.
• Ukradel občutljive podatke, povezane z OT , vključno z operativnimi postopki in sistemskimi postavitvami.
• Eksfiltrirani podatki geografskega informacijskega sistema (GIS) , ki vsebujejo ključne podrobnosti o prostorski postavitvi energetskega omrežja.

Ta vrsta inteligence bi lahko omogočila prihodnje kibernetske fizične napade, pri katerih hekerji ne samo motijo sisteme na daljavo, temveč tudi natančno vedo, kaj morajo ciljati za največjo škodo.

Zakaj je to velika varnostna skrb?

Dragos je opozoril, da medtem ko Volt Typhoon še ni bil opažen, da bi aktivno motil industrijske nadzorne sisteme (ICS), njihov vztrajni dostop in izločanje podatkov signalizirata morebitne priprave na prihodnje napade.

ICS Cyber Kill Chain razvršča napade v več stopenj. Zaenkrat se zdi, da je Volt Typhoon na 1. stopnji, ki vključuje izvidovanje in krajo podatkov. Če pa napredujejo v 2. stopnjo, bi lahko razvili in preizkusili ciljno usmerjene napade na ameriška električna omrežja, vodne sisteme ali drugo kritično infrastrukturo.

Kitajska strategija kibernetskega vojskovanja: Polaganje temeljev za prihodnje napade?

Ta incident se ujema s širšim vzorcem kitajskega kibernetskega vohunjenja, usmerjenega v infrastrukturo ZDA. Varnostni strokovnjaki menijo, da skupine, kot je Volt Typhoon, ne izvajajo samo nadzora, temveč postavljajo temelje za morebitne prihodnje konflikte.

Z infiltracijo in načrtovanjem kritičnih sistemov leta vnaprej bi se Kitajska lahko postavila v položaj za uničujoče kibernetske napade v primeru stopnjevanja geopolitičnih napetosti. To je v skladu s prejšnjimi opozorili ameriških obveščevalnih agencij, ki so opozorile, da Kitajska aktivno preiskuje ameriško infrastrukturo za ranljivost.

Potreba po močnejši varnosti OT

Incident LELWD služi kot opozorilo za vse javne službe in ponudnike kritične infrastrukture. Veliko manjših javnih služb nima sredstev za kibernetsko varnost večjih organizacij, zaradi česar so privlačne tarče za hekerje iz nacionalnih držav.

Dragosova študija primera poudarja pomen spremljanja v realnem času, segmentacije omrežja in zaznavanja vdorov pri zaščiti okolja OT. Brez te obrambe lahko hekerji ostanejo neodkriti več mesecev ali celo let, ko zbirajo obveščevalne podatke in se pripravljajo na morebitno kibernetsko vojno.

Naraščajoča grožnja, ki je ni mogoče prezreti

Napad Volt Typhoon na LELWD dokazuje, da so hekerji iz nacionalne države že v kritični infrastrukturi ZDA in ne le preizkušajo obrambe, temveč aktivno zbirajo obveščevalne podatke za morebitne prihodnje napade.

Z naraščajočimi geopolitičnimi napetostmi in kibernetskimi grožnjami, ki se razvijajo, morajo ZDA dati prednost krepitvi svoje kibernetske obrambe – preden bo prepozno.