แฮกเกอร์ Volt Typhoon ของจีนแอบแฝงอยู่ในระบบไฟฟ้าของสหรัฐฯ มานานเกือบปีแล้ว

การโจมตีทางไซเบอร์ที่เพิ่งถูกเปิดเผยได้เปิดเผยความจริงที่น่าวิตกกังวล: กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีนที่รู้จักกันในชื่อ Volt Typhoon ได้แอบแทรกซึมเข้าไปในเครือข่ายของบริษัทไฟฟ้าของสหรัฐฯ และไม่มีใครตรวจพบเป็นเวลากว่า 300 วัน การโจมตีดังกล่าวซึ่งมีเป้าหมายที่ Littleton Electric Light and Water Departments (LELWD) ในรัฐแมสซาชูเซตส์ เน้นย้ำถึงภัยคุกคามที่เพิ่มขึ้นต่อโครงสร้างพื้นฐานที่สำคัญของสหรัฐฯ

การบุกรุกของ Volt Typhoon: ปฏิบัติการจารกรรมทางไซเบอร์ 300 วัน

ตามรายงานของบริษัทรักษาความปลอดภัย Dragos ICS/OT Volt Typhoon สามารถเข้าถึงเครือข่ายของ LELWD ได้ในเดือนกุมภาพันธ์ 2023 แต่ไม่มีใครสังเกตเห็นจนกระทั่งในเดือนพฤศจิกายน 2023 เมื่อ Dragos ตรวจพบการบุกรุกระหว่างการนำโซลูชันรักษาความปลอดภัยไปใช้ในบริษัทสาธารณูปโภค การค้นพบนี้ส่งผลให้มีการเร่งนำระบบป้องกันของ Dragos มาใช้เพื่อลดโอกาสการถูกบุกรุก

Volt Typhoon หรือที่รู้จักกันในชื่อ Voltzite ได้รับการเปิดเผยต่อสาธารณะครั้งแรกในเดือนพฤษภาคม 2023 โดย Microsoft ซึ่งเชื่อมโยงกลุ่มนี้กับรัฐบาลจีน นับตั้งแต่นั้นเป็นต้นมา กลุ่มนี้ได้รับชื่อเสียงจาก แคมเปญจารกรรมทางไซเบอร์ ที่ซับซ้อนอย่างยิ่ง โดยกำหนดเป้าหมายไปที่โครงสร้างพื้นฐานที่สำคัญของสหรัฐฯ

แฮกเกอร์ต้องการอะไร?

ต่างจากกลุ่มอาชญากรไซเบอร์ทั่วไปที่มุ่งหวังจะเรียกค่าไถ่หรือแสวงหาผลประโยชน์ทางการเงิน กิจกรรมของ Volt Typhoon แสดงให้เห็นถึงเป้าหมายเชิงกลยุทธ์ในระยะยาว ตามที่ Dragos กล่าว แฮกเกอร์:

• รักษาการเข้าถึงระยะยาวไป ยัง เครือข่ายเทคโนโลยีการปฏิบัติการ (OT) ของบริษัทสาธารณูปโภค ซึ่งควบคุมโครงสร้างพื้นฐานทางกายภาพ
• ขโมยข้อมูลที่ละเอียดอ่อนที่เกี่ยวข้องกับ OT รวมถึงขั้นตอนการปฏิบัติงานและเค้าโครงระบบ
• ข้อมูลระบบสารสนเทศภูมิศาสตร์ (GIS) ที่ถูกดึงออกมา ซึ่งประกอบด้วยรายละเอียดสำคัญเกี่ยวกับรูปแบบเชิงพื้นที่ของโครงข่ายพลังงาน

ข่าวกรองประเภทนี้สามารถเปิดทางให้เกิดการโจมตีทางไซเบอร์และทางกายภาพในอนาคตได้ โดยแฮกเกอร์ไม่เพียงแต่รบกวนระบบจากระยะไกลเท่านั้น แต่ยังรู้ด้วยว่าต้องกำหนดเป้าหมายใดเพื่อสร้างความเสียหายสูงสุดอีกด้วย

เหตุใดสิ่งนี้จึงถือเป็นปัญหาความปลอดภัยที่สำคัญ?

Dragos เตือนว่าแม้ว่าจะยังไม่พบว่า Volt Typhoon กำลังรบกวนระบบควบคุมอุตสาหกรรม (ICS) อย่างจริงจัง แต่การเข้าถึงและขโมยข้อมูลอย่างต่อเนื่องเป็นสัญญาณของการเตรียมการสำหรับการโจมตีในอนาคต

Cyber Kill Chain ของ ICS แบ่งการโจมตีออกเป็นหลายขั้นตอน จนถึงตอนนี้ Volt Typhoon ดูเหมือนจะอยู่ในขั้นตอนที่ 1 ซึ่งเกี่ยวข้องกับการลาดตระเวนและการขโมยข้อมูล อย่างไรก็ตาม หากพวกเขาพัฒนาไปถึงขั้นตอนที่ 2 พวกเขาสามารถพัฒนาและทดสอบการโจมตีแบบกำหนดเป้าหมายบนโครงข่ายไฟฟ้า ระบบน้ำ หรือโครงสร้างพื้นฐานสำคัญอื่นๆ ของสหรัฐอเมริกาได้

กลยุทธ์สงครามไซเบอร์ของจีน: วางรากฐานสำหรับการโจมตีในอนาคตหรือไม่?

เหตุการณ์นี้สอดคล้องกับรูปแบบการจารกรรมทางไซเบอร์ของจีนที่มุ่งเป้าไปที่โครงสร้างพื้นฐานของสหรัฐฯ ผู้เชี่ยวชาญด้านความปลอดภัยเชื่อว่ากลุ่มอย่าง Volt Typhoon ไม่ได้แค่ทำการเฝ้าระวังเท่านั้น แต่ยังวางรากฐานสำหรับความขัดแย้งที่อาจเกิดขึ้นในอนาคตอีกด้วย

การแทรกซึมและจัดทำแผนที่ระบบสำคัญล่วงหน้าหลายปีทำให้จีนสามารถวางตำแหน่งตัวเองเพื่อโจมตีทางไซเบอร์อันร้ายแรงได้ในกรณีที่ความตึงเครียดทางภูมิรัฐศาสตร์ทวีความรุนแรงขึ้น ซึ่งสอดคล้องกับคำเตือนก่อนหน้านี้จากหน่วยข่าวกรองของสหรัฐฯ ที่เตือนว่าจีนกำลังตรวจสอบโครงสร้างพื้นฐานของสหรัฐฯ อย่างจริงจังเพื่อหาจุดอ่อน

ความจำเป็นในการรักษาความปลอดภัย OT ที่แข็งแกร่งยิ่งขึ้น

เหตุการณ์ LELWD ถือเป็นการเตือนสติสำหรับผู้ให้บริการสาธารณูปโภคและโครงสร้างพื้นฐานที่สำคัญทั้งหมด สาธารณูปโภคขนาดเล็กจำนวนมากขาดทรัพยากรด้านความปลอดภัยทางไซเบอร์ขององค์กรขนาดใหญ่ ทำให้กลายเป็นเป้าหมายที่น่าสนใจสำหรับแฮกเกอร์ระดับประเทศ

กรณีศึกษาของ Dragos เน้นย้ำถึงความสำคัญของการตรวจสอบแบบเรียลไทม์ การแบ่งส่วนเครือข่าย และการตรวจจับการบุกรุกในการปกป้องสภาพแวดล้อม OT หากไม่มีการป้องกันเหล่านี้ แฮกเกอร์อาจไม่ถูกตรวจพบเป็นเวลาหลายเดือนหรือหลายปี เพื่อรวบรวมข้อมูลข่าวกรองและเตรียมพร้อมสำหรับสงครามไซเบอร์ที่อาจเกิดขึ้น

ภัยคุกคามที่กำลังเพิ่มขึ้นซึ่งไม่สามารถละเลยได้

การโจมตี LELWD ของ Volt Typhoon พิสูจน์ให้เห็นว่าแฮกเกอร์จากรัฐชาติได้เข้ามาอยู่ในโครงสร้างพื้นฐานที่สำคัญของสหรัฐฯ แล้ว ไม่ใช่แค่ทดสอบการป้องกันเท่านั้น แต่ยังรวบรวมข้อมูลข่าวกรองอย่างจริงจังเพื่อใช้ในการโจมตีในอนาคต

เนื่องจากความตึงเครียดทางภูมิรัฐศาสตร์ที่เพิ่มมากขึ้นและภัยคุกคามทางไซเบอร์ที่พัฒนาขึ้น สหรัฐฯ จำเป็นต้องให้ความสำคัญกับการเสริมสร้างการป้องกันทางไซเบอร์ ก่อนที่จะสายเกินไป