Китайские хакеры разработали карту уязвимостей для отключения электричества в городах США

Группа Volt Typhoon почти год незаметно оставалась в компьютерных сетях коммунального предприятия Littleton Electric Light & Water Department в Массачусетсе. По информации американских властей, этот взлом является частью масштабной кибератаки, за которой стоит Китай. Подобные действия направлены на подготовку к возможному конфликту, позволяя в критический момент нанести удар по инфраструктуре США.

О взломе первыми сообщили представители ФБР и Агентства по кибербезопасности и инфраструктурной безопасности (CISA). В пятницу днём один из менеджеров Littleton Electric получил звонок от ФБР, где его предупредили о киберугрозе. Уже в понедельник в офис компании прибыли федеральные агенты и эксперты в области информационной безопасности.

Littleton Electric Light & Water Department снабжает электроэнергией и водой города Литлтон и Боксборо более века. В последние годы компания всё чаще сталкивается с угрозой кибератак. После выявления взлома специалисты Dragos начали расследование и выяснили, что Volt Typhoon проникли в сети организации ещё в феврале 2023 года.

Как стало известно, хакеры использовали уязвимость в межсетевом экране FortiGate 300D. Компания Fortinet выпустила обновление ещё в декабре 2022 года, но IT-подразделение LELWD так и не установило исправления. В результате поставщик услуг управления сетью (MSP), который отвечал за кибербезопасность компании, был уволен. К декабрю 2023 года федеральные власти развернули собственные системы мониторинга в сети LELWD, оставив уязвимость открытой, чтобы отслеживать активность хакеров. Несмотря на обеспокоенность возможным повторным взломом, руководство компании решило сотрудничать с государственными структурами.

Volt Typhoon не просто проникли в систему, но и активно перемещались внутри неё, собирая данные. Личная информация клиентов не была скомпрометирована, но компания, обеспокоенная масштабами атаки, пересмотрела сетевую архитектуру, устранив слабые места, которые могли бы использовать злоумышленники в будущем.

Цель хакеров заключалась не только в том, чтобы скрытно оставаться в системе, но и в сборе данных о промышленных автоматизированных объектах. В частности, их интересовали операционные процессы и карта энергосетей. Подобная информация может иметь решающее значение в случае кибератаки, направленной не просто на сбои в работе, а на причинение физического ущерба объектам инфраструктуры.