Hackers do Volt Typhoon permaneceram na rede elétrica dos EUA por 300 dias
- Cyber Security Brazil
- 13 de mar.
- 2 min de leitura

Um estudo de caso da Dragos, empresa de segurança para sistemas industriais (ICS/OT), revelou que o grupo hacker Volt Typhoon invadiu a rede elétrica dos EUA e roubou informações sobre sistemas de tecnologia operacional (OT).
O alvo foi a Littleton Electric Light and Water Departments (LELWD), uma pequena empresa pública de energia em Massachusetts, que atende as cidades de Littleton e Boxborough. A intrusão foi detectada enquanto a LELWD estava implementando soluções de segurança OT da Dragos, o que acelerou a implantação dessas medidas de proteção.
O estudo de caso publicado destaca como as soluções da Dragos podem ser utilizadas para detectar esse tipo de ataque e proteger infraestruturas críticas contra ameaças.
A Dragos revelou que a invasão foi descoberta em novembro de 2023, pouco antes do feriado de Ação de Graças. A investigação apontou que os hackers estavam na rede da LELWD desde fevereiro de 2023, permanecendo por mais de 300 dias sem serem detectados.
O Volt Typhoon veio à tona em maio de 2023, quando a Microsoft relatou que o grupo, supostamente ligado ao governo chinês, estava mirando infraestruturas críticas dos EUA para fins de espionagem. Desde então, o grupo tem sido amplamente noticiado devido à sua sofisticação, uso de botnets e exploração de vulnerabilidades zero-day.
Em 2023, a Dragos já havia alertado que o Volt Typhoon estava coletando dados sensíveis de sistemas OT em organizações comprometidas. Embora o grupo não tenha sido observado causando danos diretos aos sistemas de controle industrial (ICS), a empresa destacou que ele representa uma ameaça séria, pois poderia ser capaz de realizar ataques destrutivos no futuro.
No caso da LELWD, os hackers estavam coletando dados sobre os sistemas OT, incluindo procedimentos operacionais e informações sobre a estrutura espacial da rede elétrica.
"A descoberta desse ataque é significativa, pois mostra que os invasores não apenas buscavam manter acesso persistente ao ambiente da vítima, mas também queriam exfiltrar dados estratégicos sobre os procedimentos operacionais de OT e a disposição da infraestrutura energética," disse a Dragos.
"Essas informações são cruciais para que os hackers saibam exatamente onde atacar, caso decidam utilizar uma capacidade de ataque de ‘Fase 2’ no futuro."
Na Fase 2 do ICS Cyber Kill Chain, os hackers desenvolvem e testam ataques direcionados a sistemas de controle industrial. O Volt Typhoon é um dos diversos grupos ativos rastreados pela Dragos que possuem essa capacidade avançada.
Além disso, a Dragos relatou que, além do ataque à LELWD, o Volt Typhoon foi observado exfiltrando dados de Sistemas de Informação Geográfica (GIS), contendo detalhes críticos sobre a disposição espacial das redes de energia.
"Os dados exfiltrados e o acesso persistente aos sistemas OT podem ser utilizados futuramente para alcançar objetivos estratégicos," concluiu a Dragos.
Via - SW
Comentarios