Tin tặc Volt Typhoon của Trung Quốc ẩn núp trong lưới điện Hoa Kỳ trong gần một năm

Một cuộc tấn công mạng mới được tiết lộ đã phơi bày một thực tế đáng lo ngại: một nhóm tin tặc do nhà nước Trung Quốc tài trợ có tên là Volt Typhoon đã bí mật xâm nhập vào mạng lưới của một công ty điện lực Hoa Kỳ và không bị phát hiện trong hơn 300 ngày. Cuộc tấn công nhắm vào Sở Điện và Nước Littleton (LELWD) ở Massachusetts, làm nổi bật mối đe dọa ngày càng tăng đối với cơ sở hạ tầng quan trọng của Hoa Kỳ.

Cuộc xâm nhập của cơn bão Volt: Một hoạt động gián điệp mạng kéo dài 300 ngày

Theo công ty bảo mật ICS/OT Dragos, Volt Typhoon đã truy cập được vào mạng của LELWD vào tháng 2 năm 2023. Sự hiện diện của chúng không được chú ý cho đến tháng 11 năm 2023, khi Dragos phát hiện ra sự xâm nhập trong quá trình triển khai các giải pháp bảo mật tại công ty tiện ích. Phát hiện này đã dẫn đến việc triển khai nhanh chóng các biện pháp phòng thủ của Dragos để giảm thiểu vi phạm.

Volt Typhoon, còn được gọi là Voltzite, lần đầu tiên được Microsoft xác định công khai vào tháng 5 năm 2023, liên kết nhóm này với chính phủ Trung Quốc. Kể từ đó, nhóm này đã nổi tiếng với các chiến dịch gián điệp mạng cực kỳ tinh vi, nhắm vào cơ sở hạ tầng quan trọng của Hoa Kỳ.

Tin tặc nhắm tới mục đích gì?

Không giống như các nhóm tội phạm mạng thông thường nhắm đến mục tiêu tống tiền hoặc lợi ích tài chính, hoạt động của Volt Typhoon cho thấy một mục tiêu chiến lược, dài hạn. Theo Dragos, các tin tặc:

• Duy trì quyền truy cập lâu dài vào mạng công nghệ vận hành (OT) của tiện ích, nơi kiểm soát cơ sở hạ tầng vật lý.
• Đánh cắp dữ liệu nhạy cảm liên quan đến OT , bao gồm quy trình vận hành và bố cục hệ thống.
• Dữ liệu hệ thống thông tin địa lý (GIS) được trích xuất , chứa các thông tin chi tiết quan trọng về bố cục không gian của lưới điện.

Loại trí thông minh này có thể cho phép các cuộc tấn công mạng thực tế trong tương lai, khi tin tặc không chỉ phá vỡ hệ thống từ xa mà còn biết chính xác mục tiêu cần nhắm tới để gây thiệt hại tối đa.

Tại sao đây lại là mối quan ngại lớn về an ninh?

Dragos cảnh báo rằng mặc dù Volt Typhoon chưa được phát hiện đang tích cực phá hoại các hệ thống điều khiển công nghiệp (ICS), nhưng việc truy cập liên tục và đánh cắp dữ liệu của chúng báo hiệu khả năng chuẩn bị cho các cuộc tấn công trong tương lai.

ICS Cyber Kill Chain phân loại các cuộc tấn công thành nhiều giai đoạn. Cho đến nay, Volt Typhoon dường như đang ở Giai đoạn 1, bao gồm trinh sát và đánh cắp dữ liệu. Tuy nhiên, nếu chúng tiến triển đến Giai đoạn 2, chúng có thể phát triển và thử nghiệm các cuộc tấn công có mục tiêu vào lưới điện, hệ thống nước hoặc cơ sở hạ tầng quan trọng khác của Hoa Kỳ.

Chiến lược chiến tranh mạng của Trung Quốc: Đặt nền tảng cho các cuộc tấn công trong tương lai?

Sự cố này phù hợp với mô hình gián điệp mạng rộng hơn của Trung Quốc nhắm vào cơ sở hạ tầng của Hoa Kỳ. Các chuyên gia an ninh tin rằng các nhóm như Volt Typhoon không chỉ tiến hành giám sát mà còn đặt nền tảng cho các cuộc xung đột tiềm tàng trong tương lai.

Bằng cách xâm nhập và lập bản đồ các hệ thống quan trọng trước nhiều năm, Trung Quốc có thể định vị để phát động các cuộc tấn công mạng tàn phá trong trường hợp căng thẳng địa chính trị leo thang. Điều này phù hợp với các cảnh báo trước đây của các cơ quan tình báo Hoa Kỳ, cảnh báo rằng Trung Quốc đang tích cực thăm dò cơ sở hạ tầng của Hoa Kỳ để tìm lỗ hổng.

Nhu cầu bảo mật OT mạnh mẽ hơn

Sự cố LELWD là lời cảnh tỉnh cho tất cả các nhà cung cấp tiện ích và cơ sở hạ tầng quan trọng. Nhiều tiện ích công cộng nhỏ hơn thiếu các nguồn lực an ninh mạng của các tổ chức lớn hơn, khiến chúng trở thành mục tiêu hấp dẫn cho tin tặc quốc gia.

Nghiên cứu điển hình của Dragos nhấn mạnh tầm quan trọng của việc giám sát theo thời gian thực, phân đoạn mạng và phát hiện xâm nhập trong việc bảo vệ môi trường OT. Nếu không có các biện pháp phòng thủ này, tin tặc có thể không bị phát hiện trong nhiều tháng—hoặc thậm chí nhiều năm—để thu thập thông tin tình báo và chuẩn bị cho chiến tranh mạng tiềm tàng.

Một mối đe dọa ngày càng gia tăng không thể bỏ qua

Cuộc tấn công Volt Typhoon vào LELWD chứng minh rằng tin tặc quốc gia đã xâm nhập vào cơ sở hạ tầng quan trọng của Hoa Kỳ, không chỉ thử nghiệm khả năng phòng thủ mà còn tích cực thu thập thông tin tình báo cho các cuộc tấn công tiềm ẩn trong tương lai.

Với căng thẳng địa chính trị ngày càng gia tăng và các mối đe dọa mạng ngày càng phát triển, Hoa Kỳ phải ưu tiên tăng cường phòng thủ mạng trước khi quá muộn.