A Volt Typhoon a kínai állam által támogatott hackercsoport. Miatta adott ki 2024. március 19-én figyelmeztetést az Egyesült Államok kormánya és globális hírszerzési partnerei, köztük az Öt Szem névre hallgató szervezet a kritikus infrastruktúrákat célzó tevékenysége miatt.

A figyelmeztetés egybecseng az eddigi kiberbiztonsági elemzésekkel, amely évek óta fennáll Kína irányából. Ám mint sok kibertámadó csoportnak, a Volt Typhoonnak is sok álneve van. Feltűntek már Vanguard Panda, Bronze Silhouette, Dev-0391, UNC3236, Voltzite és Insidious Taurus néven is. Bár a legutóbbi figyelmeztetéseket követően Kína ismét tagadta, hogy kiberkémkedést folytatna.

A Volt Typhoon digitális eszközök ezreit veszélyezteti szerte a világon, mióta a Microsoft biztonsági elemzői 2023 májusában nyilvánosan beazonosították a jelenlétüket. A kormány és a kiberbiztonsági elemzők úgy vélik, hogy a csoport 2021 közepe óta olyan infrastruktúrákat céloz meg, ami a legrosszabb forgatókönyvet eredményezheti.

A Volt Typhoon olyan rosszindulatú szoftvereket használ, amelyek behatolnak az internethez kapcsolódó rendszerekbe, kihasználva sebezhetőségüket, mint például a gyenge jelszavakat, vagy a gyárilag alapértelmezett bejelentkezési adatokat, vagy olyan eszközöket, amelyeket nem frissítenek rendszeresen.

Ennek köszönhetően a hackerek kommunikációs, energia-, közlekedési, víz- és szennyvízrendszereket vettek célba az Egyesült Államokban és olyan területeken, mint például Guam – írja Richard Forno, a Marylandi Egyetem kiberbiztonsági szakértője.

A Volt Typhoon sok szempontból hasonlóan működik, mint a hagyományos, úgynevezett botnetek, amelyek évtizedek óta sújtják az internetet, mert átveszik az irányítást a sérülékeny internetes eszközök, például biztonsági kamerák felett, majd hosszú ideig rejtőzködnek, mielőtt támadásokat kezdeményeznének.

Az ilyen működés igencsak megnehezíti a kiberbiztonsági szakemberek dolgát, hogy a támadás forrását beazonosítsák. Ami még rosszabb, hogy a védekező fél véletlenül beránthat egy harmadik partnert is, akinek fogalma sincs, hogy a Volt Typhoon botnetje őket is elkapta.

Miért olyan jelentős a Volt Typhoon?

A kritikus infrastruktúra megzavarása az egész világon gazdasági károkat okoz. A Volt Typhoon hadművelete az amerikai hadseregre is fenyegetést jelent, mivel megszakítja az áram- és vízellátást a katonai létesítményekben és a kritikus ellátási láncokban.

A Microsoft 2023-as jelentése szerint a Volt Typhoon „megzavarhatja a kritikus kommunikációs infrastruktúrát az Egyesült Államok és az ázsiai régió között a jövőbeli válságok idején”. Az amerikai Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség 2024 márciusi jelentése is arra figyelmeztetett, hogy a botnet „a kritikus szolgáltatások megzavarásához vagy megsemmisítéséhez vezethet, ha megnő a geopolitikai feszültség és/vagy katonai konfliktus alakul ki az Egyesült Államokkal és annak szövetségeseivel.”

A Volt Typhoon létezése, valamint a Kína és az Egyesült Államok között – különösen Tajvannal kapcsolatos – fokozódó feszültség rávilágít a globális események és a kiberbiztonság közötti legújabb összefüggésekre.

A Volt Typhoon elleni védekezés

Az FBI 2024. január 31-én jelentette, hogy sikeresen megzavarta a Volt Typhoon működését azzal, hogy több ártalmas eszközt is eltávolított több száz kis irodai, illetve home office-ban található netes csatlakozóról. De még mindig számtalan kártékony behatolót üldöznek Egyesült Államok-szerte.

2024. március 25-én az Egyesült Államok és az Egyesült Királyság bejelentette, hogy szankciókat vezettek be az infrastruktúrájukat veszélyeztető kínai hacherekkel szemben. De más országok, köztük Új-Zéland, az elmúlt években szintén Kínára visszavezethető kibertámadásokat tárt fel.

A kibertechnikai szakértő szerint minden szervezetnek, különösen az infrastruktúra-szolgáltatóknak, időtálló, biztonságos számítástechnikát kell létrehoznia, amelynek középpontjában a felkészülés, az észlelés és a válaszadás áll. Gondoskodniuk kell arról, hogy információs rendszereik és intelligens eszközeiket megfelelően konfigurálják és javítsák, és nyomoz követhessék tevékenységeiket. Ezenkívül azonosítaniuk kell és lecserélni a hálózataik végén álló eszközeiket, és olyan tűzfalakat, amelyeket már nem támogat a gyártó.

A cégek és szervezetek erős felhasználó-hitelesítési intézkedéseket is bevezethetnek, például többlépcsős hitelesítést, hogy megnehezítsék a támadók, például a Volt Typhoon számára a rendszerek és eszközök feltörését.

De a magánszemélyek is lépéseket tehetnek önmaguk és munkaadóik védelmében azzal, hogy eszközeiket frissítik, hogy használják a többlépcsős hitelesítést, hogy nem használják fel újra a jelszavaikat, és továbbra is éberek maradnak a fiókjaikon, eszközeiken és hálózataikon tapasztalt gyanús tevékenységekkel kapcsolatban.

A Volt Typhoon-éhoz hasonló hackertámadások óriási geopolitikai kiberbiztonsági fenyegetést jelenthetnek. Ezért ma már mindenkinek figyelnie kell, mi történik a világban, és mérlegelnie kell, hogy az aktuális események hogyan befolyásolhatják digitális eszközei biztonságát.