Группа Volt Typhoon почти год тайно находилась в системах коммунальной компании Littleton Electric Light & Water Department в Массачусетсе. Взлом стал частью масштабной операции, за которой, по данным американских властей, стоит Китай. Цель таких атак – заранее подготовиться к возможному конфликту и в случае необходимости нанести ущерб критически важной инфраструктуре США.
О компрометации сети компании первыми узнали ФБР и CISA. В пятницу днем один из менеджеров Littleton Electric получил звонок от ФБР с предупреждением о взломе, а уже в понедельник в офисе компании появились агенты и специалисты по кибербезопасности.
Littleton Electric Light & Water Department обслуживает города Литлтон и Боксборо и более 100 лет обеспечивает их электроэнергией и водоснабжением. Однако в последние годы компания столкнулась с нарастающей угрозой кибератак. После выявления компрометации специалисты Dragos начали расследование и установили, что Volt Typhoon проникли в сети организации еще в феврале 2023 года.
Как выяснилось, Volt Typhoon повали в систему через уязвимость в межсетевом экране FortiGate 300D. Хотя Fortinet выпустила исправление ещё в декабре 2022 года, управляющая IT-компания LELWD не обновила прошивку. В результате MSP, отвечавший за управление сетью, был уволен К декабрю 2023 года федеральное правительство установило свои датчики в сети LELWD и попросило оставить уязвимость открытой для наблюдения за действиями хакеров . Несмотря на переживания о том, что атака может повториться, компания приняла решение сотрудничать с властями.
Хакеры не просто закрепились в системах, но также перемещались внутри сети и осуществляли кражу данных. При этом в ходе атаки не были скомпрометированы персональные данные клиентов. В результате предпринятых мер компания изменила свою сетевую архитектуру, исключив потенциальные уязвимости, которыми могли воспользоваться злоумышленники.
Целью Volt Typhoon было не просто долговременное присутствие в системе – хакеры хотели собирали информацию о работе объектов промышленной автоматизации. В частности, данные об операционных процедурах и топографию энергосетей. Такие сведения могут быть критически важны в случае, если целью атаки является не просто нарушение работы, а нанесение физического ущерба инфраструктуре.
Представитель компании до сих пор не знает, почему Volt Typhoon выбрали именно LELWD. Возможно, это было частью масштабной разведывательной операции. “Наши подстанции и инженерные системы не были скомпрометированы, но хакеры знали, где находятся уязвимые брандмауэры и пытались их обойти”, – отметил представитель. Для LELWD данный инцидент стал серьёзным уроком в области кибербезопасности.
Несмотря на принятые меры, некоторые детали атаки остаются засекреченными в связи с продолжающимся расследованием со стороны американских правоохранительных органов. В то же время Китай отрицает свою причастность к операции Volt Typhoon, хотя CISA и ФБР неоднократно предупреждали, что хакеры пытаются закрепиться в IT-сетях американской критической инфраструктуры для последующих атак.