Китайские хакеры месяцами оставались незамеченными в небольшой энергетической компании штата Массачусетс

В конце 2023 года ФБР сообщило Департаментам электрического света и водоснабжения Литтлтона (LELWD) о том, что они подверглись атаке хакерской группы, спонсируемой китайским государством, в течение более 300 дней. С помощью кибербезопасной компании Dragos и датчиков, финансируемых Департаментом энергетики, LELWD подтвердил проникновение, выявил перемещения хакеров и в конечном итоге переструктурировал свою сеть, чтобы удалить их. PCMag сообщает:

В то время LELWD устанавливал датчики от кибербезопасной компании Dragos с помощью грантов Департамента энергетики, предоставленных Американской ассоциацией общественного электроснабжения (APPA). «Датчики помогли LELWD подтвердить масштаб вредоносной активности в системе и определить время и место, где атакующие находились на сетях коммунальных услуг», - сказал APPA в прошлом году.

Сегодня Dragos опубликовал тематическое исследование (PDF) о взломе, в котором обвинил группу Voltzite – «сложную угрожающую группу... которая перекрывается с Volt Typhoon».

Звонок из ФБР заставил Dragos «развернуться быстро и обойти запланированный график подключения» для LELWD, говорится в документе. Было выявлено, что Volt Typhoon «имел постоянный доступ к сети LELWD». Хакеры искали конкретные данные, связанные с процедурами работы операционных технологий и пространственными данными о работе энергосети, - рассказывает Dragos SecurityWeek. В конечном итоге Dragos подтвердил, что скомпрометированные системы не содержали «данных клиентов», и LEWLD изменил архитектуру своей сети, чтобы удалить Volt Typhoon, говорится в исследовании.

Группы, подобные Volt Typhoon, «не всегда сначала выбирают высокоprofile цели», - сказал Энсар Секер (Ensar Seker), главный директор по безопасности SOCRadar. «Малые, недофинансируемые коммунальные предприятия могут служить легкой добычей, что позволяет противникам тестировать тактики, создавать опорные пункты и переходить к более крупным целям».