Китайські хакери Volt Typhoon ховалися в електричній мережі США майже рік

Нещодавно виявлена кібератака розкрила тривожну реальність: фінансована державою китайська хакерська група, відома як Volt Typhoon, таємно проникла в мережу американської електричної компанії та залишалася непоміченою понад 300 днів. Атака, спрямована на управління освітлення та водопостачання Літтлтона (LELWD) у Массачусетсі, підкреслює зростаючу загрозу для критично важливої інфраструктури США.

Вторгнення Volt Typhoon: 300-денна операція кібершпигунства

За даними охоронної фірми ICS/OT Dragos, Volt Typhoon отримав доступ до мережі LELWD у лютому 2023 року. Їхня присутність залишалася непоміченою до листопада 2023 року, коли Dragos виявив вторгнення під час впровадження своїх рішень безпеки на підприємстві. Це відкриття призвело до швидкого розгортання захисту Драгоса, щоб пом'якшити пролом.

Volt Typhoon, також відомий як Voltzite, був вперше публічно ідентифікований у травні 2023 року Microsoft, яка пов’язала групу з урядом Китаю. Відтоді група здобула репутацію завдяки своїм надто складним кампаніям кібершпигунства , націленим на критичну інфраструктуру США.

До чого прагнули хакери?

На відміну від типових груп кіберзлочинців, які прагнуть отримати вимагачі або отримати фінансову вигоду, діяльність Volt Typhoon вказує на стратегічну довгострокову мету. За словами Драгоша, хакери:

• Підтримка довгострокового доступу до мережі операційних технологій (OT) комунального підприємства, яка контролює фізичну інфраструктуру.
• Викрали конфіденційні дані, пов’язані з OT , включаючи операційні процедури та схеми системи.
• Ексфільтровані дані географічної інформаційної системи (ГІС) , які містять важливі деталі просторового розташування енергетичної мережі.

Такий тип інтелекту може дозволити майбутні кіберфізичні атаки, коли хакери не тільки дистанційно порушують роботу систем, але й точно знають, на що націлюватися, щоб завдати максимальної шкоди.

Чому це серйозна проблема безпеки?

Драгос попередив, що хоча Volt Typhoon ще не спостерігав активного порушення промислових систем управління (ICS), їхній постійний доступ і викрадання даних сигналізують про потенційну підготовку до майбутніх атак.

ICS Cyber Kill Chain класифікує атаки на кілька етапів. Поки що Volt Typhoon, здається, знаходиться на стадії 1, яка включає розвідку та крадіжку даних. Однак, якщо вони перейдуть до Етапу 2, вони зможуть розробити та випробувати цілеспрямовані атаки на електромережі США, системи водопостачання чи іншу критичну інфраструктуру.

Китайська стратегія кібервійни: закладення основи для майбутніх атак?

Цей інцидент вписується в ширшу схему китайського кібершпигунства, націленого на інфраструктуру США. Експерти з безпеки вважають, що такі групи, як Volt Typhoon, не просто ведуть спостереження, а й закладають основу для потенційних майбутніх конфліктів.

Завдяки проникненню та плануванню критичних систем на багато років наперед Китай може підготуватися до руйнівних кібератак у разі ескалації геополітичної напруженості. Це узгоджується з попередніми попередженнями розвідувальних агенцій США, які попереджали, що Китай активно досліджує американську інфраструктуру на наявність вразливостей.

Необхідність посилення безпеки OT

Інцидент LELWD служить тривожним дзвінком для всіх комунальних служб і постачальників критичної інфраструктури. Багатьом невеликим комунальним підприємствам не вистачає ресурсів кібербезпеки великих організацій, що робить їх привабливими мішенями для хакерів з національних держав.

Приклад Драгоса підкреслює важливість моніторингу в реальному часі, сегментації мережі та виявлення вторгнень для захисту середовищ OT. Без цих засобів захисту хакери можуть залишатися непоміченими місяцями або навіть роками, збираючи розвідувальну інформацію та готуючись до потенційної кібервійни.

Зростаюча загроза, яку неможливо ігнорувати

Атака Volt Typhoon на LELWD доводить, що державні хакери вже знаходяться в критично важливій інфраструктурі США, не лише випробовуючи захист, але й активно збираючи дані для потенційних майбутніх атак.

Зі зростанням геополітичної напруженості та кіберзагроз, що розвиваються, США повинні поставити пріоритет на посилення свого кіберзахисту, поки не пізно.