Группа злоумышленников "Volt Typhoon" имела доступ к сетям американских коммунальных предприятий почти год.

Недавнее открытие атаки группы Volt Typhoon вызывает опасения по поводу культуры безопасности операционных технологий (OT). Роль искусственного интеллекта в атаках продолжает беспокоить лидеров кибербезопасности. Уязвимые серверы OT оставляют малые и средние предприятия (SMB) и крупные компании открытыми для атак ransomware и кражи интеллектуальной собственности.

Группа Volt Typhoon, имеющая связи с Китаем, получила доступ к сети операционных технологий (OT) департаментов электроснабжения и водоснабжения Littleton Electric Light and Water Departments (LELWD) в Массачусетсе на 10 месяцев в 2023 году. Вторжение продолжалось с февраля по ноябрь 2023 года, однако исследователи безопасности из Dragos, которые обнаружили его, быстро отреагировали, как только стало известно об этом; выявив активность группы на сервере и сдержав угрозу без компрометации данных клиентов.

Данные о сетях OT, особенно в отношении критически важной национальной инфраструктуры (CNI), важно защитить. Infosecurity сообщил о Доноване Тиндилле, директоре по кибербезопасности OT компании DeNexus, который объяснил, что открытые серверы малого бизнеса такого типа позволяют красть интеллектуальную собственность, создавать карты структур энергосетей и использовать данные в атаках ransomware.

Сохранение контроля над кибербезопасностью OT

Эксперты высказываются по поводу последствий атаки. Тим Макки, руководитель стратегии управления рисками цепочки поставок программного обеспечения компании Black Duck, сказал, что «одной из самых больших проблем кибербезопасности в критической инфраструктуре является долгий срок службы устройств. То, что было спроектировано и протестировано с учетом лучших доступных практик на момент выпуска, может легко стать уязвимым для атак с использованием более сложных методов позже в своем жизненном цикле».

Наথэниэл Джонс, вице-президент по исследованию угроз Darktrace, добавил, что влияние инструментов ИИ на атаки на CNI является «постоянной и растущей проблемой» для тех, кто защищает сети OT.

Агнидипта Саркар, вице-президент совета директоров CISO компании ColorTokens, предупредил, что атаки участились, но также и неправильно обрабатываются защитниками и руководителями OT. «К сожалению», - сказал он, - «руководители кибербезопасности OT сосредоточились на остановке атак, а не на предотвращении их распространения».