A empresa de segurança Dragos, especializada em proteção de sistemas industriais (ICS/OT), revelou que o grupo hacker Volt Typhoon comprometeu a rede elétrica dos EUA e obteve acesso a informações sensíveis sobre tecnologia operacional (OT).
O ataque teve como alvo a Littleton Electric Light and Water Departments (LELWD), uma fornecedora pública de energia em Massachusetts que atende as cidades de Littleton e Boxborough. A invasão foi detectada em novembro de 2023, enquanto a LELWD implementava soluções de segurança da Dragos, o que ajudou a acelerar a resposta ao incidente.
O relatório divulgado destaca como as ferramentas da Dragos podem identificar ataques desse tipo e fortalecer a segurança de infraestruturas críticas.
Segundo a investigação, os hackers estavam presentes na rede da LELWD desde fevereiro de 2023, permanecendo por mais de 300 dias sem serem detectados.
O grupo Volt Typhoon ganhou notoriedade em maio de 2023, quando a Microsoft alertou que ele estaria associado ao governo chinês e focado em espionar infraestruturas críticas nos EUA. Desde então, o grupo tem sido monitorado devido à sua sofisticação, utilização de botnets e exploração de vulnerabilidades zero-day.
Ainda em 2023, a Dragos já havia identificado que o Volt Typhoon estava coletando dados sensíveis de sistemas OT em organizações comprometidas. Embora não tenha sido registrado nenhum ataque destrutivo até o momento, especialistas alertam que o grupo tem potencial para realizar operações mais agressivas no futuro.
No caso da LELWD, os invasores obtiveram informações detalhadas sobre os sistemas OT, incluindo procedimentos operacionais e estruturas da rede elétrica.
“Essa descoberta é preocupante, pois mostra que os hackers não apenas queriam manter um acesso contínuo à infraestrutura da vítima, mas também buscavam roubar dados estratégicos sobre a operação da rede elétrica”, destacou a Dragos.
“Com essas informações, eles podem planejar ataques mais eficazes caso decidam ativar uma fase mais agressiva no futuro.”
Na chamada Fase 2 do ICS Cyber Kill Chain, os cibercriminosos desenvolvem e testam ataques contra sistemas de controle industrial. O Volt Typhoon é um dos grupos rastreados pela Dragos que possui essa capacidade avançada.
Além do ataque à LELWD, os hackers também exfiltraram dados de Sistemas de Informação Geográfica (GIS), que contêm informações críticas sobre a estrutura espacial das redes de energia.
“O roubo dessas informações e a permanência dos hackers nos sistemas OT podem ser usados para futuras operações estratégicas“, concluiu a Dragos.
