Volt Typhoon: Η αθόρυβη κινεζική παρουσία μέσα σε κρίσιμες αμερικανικές υποδομές
Παρότι το όνομα Volt Typhoonπαραμένει άγνωστο στο ευρύ κοινό, οι αρμόδιες υπηρεσίες ασφαλείας στις Ηνωμένες Πολιτείες το αντιμετωπίζουν πλέον ως έναν από τους πιο σταθερούς και υπολογίσιμους παράγοντες στον ψηφιακό ανταγωνισμό με την Κίνα. Πρόκειται για μια ομάδα κυβερνοδιείσδυσης που συνδέεται με το Πεκίνο και η οποία, σύμφωνα με τις αμερικανικές αρχές, ακολουθεί τακτική χαμηλής ορατότητας, αποφεύγοντας επιθέσεις που θα μπορούσαν να προδώσουν τον σκοπό της. Στόχος της δεν είναι η άμεση πρόκληση ζημιάς, αλλά η εγκατάσταση μόνιμων σημείων πρόσβασης μέσα σε κρίσιμες υποδομές, τα οποία μπορούν να ενεργοποιηθούν σε περίοδο γεωπολιτικής έντασης.
Αναφορές από το FBI, την NSA και την αμερικανική υπηρεσία κυβερνοασφάλειας CISA αναφέρουν ότι η Volt Typhoon κατάφερε να διεισδύσει σε δίκτυα ενέργειας, ύδρευσης, τηλεπικοινωνιών και λιμενικών εγκαταστάσεων, παραμένοντας ενεργή για μεγάλα χρονικά διαστήματα χωρίς να εντοπίζεται. Πληροφορίες που συγκέντρωσαν ερευνητικές ομάδες από πανεπιστήμια και εταιρείες κυβερνοασφάλειας δείχνουν ότι οι εισβολές δεν περιορίστηκαν σε απομονωμένα συστήματα, αλλά συχνά επεκτάθηκαν σε διασυνδεδεμένους φορείς, όπως περιφερειακούς παρόχους κοινής ωφέλειας, διαχειριστές δικτύων μεταφοράς και οργανισμούς πρώτης απόκρισης.
Σύμφωνα με δύο πρώην κυβερνητικούς αξιωματούχους που μίλησαν υπό ανωνυμία, «η ομάδα δεν επιδιώκει να “ρίξει” συστήματα εδώ και τώρα· δημιουργεί ένα παθητικό πλέγμα πρόσβασης, που σε περίοδο κρίσης θα μπορούσε να ενεργοποιηθεί για να προκαλέσει στοχευμένες διακοπές λειτουργίας».
Ειδικοί που συμμετείχαν στις αναλύσεις των περιστατικών υπογραμμίζουν ότι η Volt Typhoon δεν στηρίζεται σε εξελιγμένα κακόβουλα προγράμματα. Αντίθετα, αξιοποιεί εργαλεία που υπάρχουν ήδη σε κάθε σύστημα: PowerShell, γραμμές εντολών, WMI, RDP, scheduled tasks και ενσωματωμένα utilities. Αυτές οι τεχνικές, γνωστές διεθνώς ως “living off the land”, επιτρέπουν στην ομάδα να κινείται μέσα στα δίκτυα σαν ένας κοινός διαχειριστής, αυξάνοντας δραματικά τον βαθμό δυσκολίας στην ανίχνευση.
Οι έρευνες κατέδειξαν επίσης ότι οι επιτιθέμενοι συχνά τροποποιούσαν ή αφαιρούσαν logs από βιομηχανικά συστήματα, δυσκολεύοντας την αναδρομική ιχνηλάτηση της δραστηριότητάς τους. Ένας αναλυτής κυβερνοασφάλειας που εξέτασε ένα από τα περιστατικά σε σύστημα ύδρευσης δήλωσε: «Δεν είδαμε τον κλασικό θόρυβο που παράγουν οι APT. Όλα έμοιαζαν σαν καθημερινές ενέργειες διαχείρισης».
Το τεράστιο τεχνικό χρέος των αμερικανικών υποδομών
Ένας από τους βασικούς λόγους για τους οποίους η ομάδα κατάφερε να παραμείνει ενεργή επί τόσο μεγάλο διάστημα είναι η κατάσταση των ίδιων των αμερικανικών δικτύων. Από δημοτικά συστήματα ύδρευσης μέχρι περιφερειακές ενεργειακές εγκαταστάσεις, πολλές κρίσιμες υπηρεσίες βασίζονται ακόμη σε παλιά λειτουργικά συστήματα, συσκευές που δεν υποστηρίζονται πλέον και λογισμικά σχεδιασμένα για μια εντελώς διαφορετική εποχή.
Έρευνα του Πανεπιστημίου Carnegie Mellon διαπίστωσε ότι σημαντικό ποσοστό των βιομηχανικών συστημάτων αυτοματισμού εξακολουθεί να λειτουργεί χωρίς ενημερώσεις ασφαλείας ή με προεπιλεγμένους κωδικούς πρόσβασης. Σε πολλές περιπτώσεις που εξετάστηκαν από την CISA, η είσοδος των επιτιθέμενων κατέστη δυνατή επειδή παρέμενε ενεργός ένας παλιός λογαριασμός διαχειριστή ή επειδή ένας router δεν είχε ενημερωθεί τα τελευταία δέκα χρόνια.
Αξιωματούχος δημόσιου οργανισμού σε δυτική Πολιτεία των ΗΠΑ ανέφερε ότι «σε ορισμένες εγκαταστάσεις, το δίκτυο παραμένει ενιαίο, χωρίς VLANs, χωρίς zero-trust πολιτικές και χωρίς περιορισμούς στην πλευρική κίνηση. Αν μπει κάποιος στο ένα σημείο, σχεδόν πάντα μπορεί να μετακινηθεί παντού».
Η υπόθεση της Volt Typhoon εντάσσεται σε ένα ευρύτερο μοτίβο ενεργειών από κινεζικές APT ομάδες. Το 2015, η παραβίαση του Office of Personnel Management είχε εκθέσει προσωπικά δεδομένα περισσότερων από 21 εκατ. Αμερικανών. Το 2021, μεγάλος αριθμός κυβερνητικών υπηρεσιών επηρεάστηκε από τις παραβιάσεις του Microsoft Exchange, ενώ η ομάδα APT41 είχε συνδεθεί με εκατοντάδες επιθέσεις σε δήμους, υγειονομικά συστήματα και πανεπιστήμια.
Οι αναλυτές εκτιμούν ότι η Volt Typhoon λειτουργεί σε ένα πλαίσιο συνεχούς χαμηλής έντασης αντιπαράθεσης μεταξύ ΗΠΑ και Κίνας. Η επιδίωξη δεν είναι η πρόκληση άμεσου χάους, αλλά η εξασφάλιση στρατηγικής πρόσβασης σε δίκτυα που θα μπορούσαν να επηρεάσουν την εθνική απόκριση σε μια ενδεχόμενη κρίση, συμπεριλαμβανομένου ενός πιθανού επεισοδίου στην περιοχή του Ειρηνικού.
Η Ελλάδα ως μέρος της ευρύτερης γεωγραφίας των επιχειρήσεων
Αν και η Ελλάδα δεν βρίσκεται στο επίκεντρο της αντιπαράθεσης, ειδικοί σε ζητήματα κυβερνοασφάλειας επισημαίνουν ότι η χώρα εντάσσεται πλέον, λόγω των υποδομών της, στις περιοχές αυξημένου ενδιαφέροντος. Η παρουσία αμερικανικών βάσεων, η αναβάθμιση των data centers που κατασκευάζονται από αμερικανικές εταιρείες, καθώς και τα υποθαλάσσια καλώδια που συνδέουν την Ελλάδα με κόμβους της Μεσογείου, δημιουργούν ένα περιβάλλον όπου ενδιάμεσες επιχειρήσεις κυβερνοελέγχου δεν μπορούν να αποκλειστούν.
Παράλληλα, ευρωπαϊκές έρευνες έχουν καταγράψει ύποπτη δραστηριότητα σε κρίσιμα σημεία της ενεργειακής αρχιτεκτονικής της Μεσογείου, με περιστατικά που αφορούν χαρτογράφηση υποθαλάσσιων καλωδίων και προσπαθειών υποκλοπής δεδομένων σε περιοχές κοντά στη Σικελία και τη Μάλτα.
Έλληνας ειδικός που συμμετέχει σε ερευνητικά προγράμματα της ΕΕ τόνισε ότι «οι διεισδύσεις αυτού του τύπου δεν στοχεύουν απαραίτητα την Ελλάδα· στοχεύουν τη ροή δεδομένων που περνά μέσα από την Ελλάδα».
Η δράση της Volt Typhoon αποκαλύπτει ότι η μεγαλύτερη αδυναμία δεν βρίσκεται στην επιθετική ικανότητα των κυβερνοομάδων, αλλά στη χρόνια εγκατάλειψη των υποδομών. Πολλά συστήματα παραμένουν λειτουργικά χωρίς να μπορούν ουσιαστικά να ασφαλιστούν, επειδή ο εκσυγχρονισμός τους θεωρείται δαπανηρός ή τεχνικά περίπλοκος.
Ειδικοί σημειώνουν ότι ο κίνδυνος δεν έγκειται μόνο σε ένα πιθανό blackout ή μια διακοπή επικοινωνιών, αλλά στον συσσωρευμένο δυνητικό αντίκτυπο μιας μαζικής ενεργοποίησης σημείων πρόσβασης σε περίοδο κρίσης. «Αν το πλέγμα αυτό ενεργοποιηθεί συντονισμένα», ανέφερε αναλυτής της CISA, «ο αντίκτυπος μπορεί να είναι πολλαπλασιαστικός και να επηρεάσει συστήματα που θεωρούνται ασφαλή απλώς επειδή είναι γεωγραφικά απομακρυσμένα».
