En décembre, une opération des forces de l’ordre américaines a démantelé un botnet regroupant des centaines de routeurs exploités par des acteurs étatiques chinois. La campagne a suscité des inquiétudes quant aux cyberattaques potentiellement destructrices provenant du pays.
Le ministère de la Justice (DOJ) a annoncé mercredi qu’un groupe parrainé par l’État chinois, connu sous le nom de Volt Typhoon, avait utilisé des centaines de routeurs privés pour petits bureaux/bureaux à domicile (SOHO) basés aux États-Unis et infectés par un malware botnet “pour dissimuler l’origine de la RPC”. de nouvelles activités de piratage dirigées contre des victimes américaines et étrangères. » L’activité ciblait principalement les entités du secteur des infrastructures critiques.
“L’opération autorisée par le tribunal a supprimé le logiciel malveillant KV Botnet des routeurs et a pris des mesures supplémentaires pour rompre leur connexion au botnet, comme le blocage des communications avec d’autres appareils utilisés pour contrôler le botnet”, indique le communiqué de presse. Les principaux appareils détournés, a indiqué le DOJ, étaient des routeurs Cisco et Netgear en fin de vie qui ne recevaient plus de mises à jour.
L’opération d’application de la loi qui a conduit au retrait, a déclaré le DOJ, a été autorisée par le tribunal en décembre et dirigée par le bureau extérieur et la division cyber du FBI à Houston, le bureau du procureur américain pour le district sud du Texas et la section cybersécurité de la sécurité nationale du ministère de la Justice. Division de la sécurité nationale.
Reuters a signalé pour la première fois lundi la perturbation de la campagne de piratage informatique chinoise. Les agences américaines ont déjà suivi et divulgué les activités de menace de Volt Typhoon, actif depuis la mi-2021. Au printemps dernier, Microsoft a publié un rapport sur le ciblage par Volt Typhoon des organisations d’infrastructures critiques à Guam et aux États-Unis. Alors que le groupe menaçant se livre habituellement au cyberespionnage, le géant de la technologie a averti que les objectifs de Volt Typhoon pourraient avoir changé.
“Microsoft estime avec une confiance modérée que cette campagne Volt Typhoon poursuit le développement de capacités susceptibles de perturber les infrastructures de communication critiques entre les États-Unis et la région Asie lors de crises futures”, a déclaré Microsoft.
La détection et la perturbation du botnet KV ont suscité de nouvelles inquiétudes au sein du gouvernement américain. Lors d’une audience mercredi devant le comité spécial de la Chambre sur la concurrence stratégique entre les États-Unis et le Parti communiste chinois concernant le retrait, la directrice de la CISA, Jen Easterly, a témoigné de la menace posée par la récente cyberactivité chinoise.
“Les cyberacteurs chinois, y compris un groupe connu sous le nom de Volt Typhoon, s’enfouissent profondément dans nos infrastructures critiques pour être prêts à lancer des cyberattaques destructrices en cas de crise majeure ou de conflit avec les États-Unis”, a déclaré Easterly dans son discours d’ouverture. . “Nous sommes dans un monde où un conflit majeur à l’autre bout du globe pourrait bien mettre en danger le peuple américain ici chez nous à travers la perturbation de nos gazoducs, la pollution de nos installations d’eau, l’interruption de nos télécommunications, la paralysie de nos systèmes de transport… – tous conçus pour inciter au chaos et à la panique à travers notre pays et dissuader notre capacité à mobiliser la puissance militaire et la volonté citoyenne. »
Le directeur du FBI, Christopher Wray, a fait des remarques similaires dans sa déclaration d’ouverture et a déclaré que les opérations de piratage chinoises représentaient un risque énorme pour les infrastructures civiles critiques américaines.
“Le malware Volt Typhoon a permis à la Chine de dissimuler, entre autres choses, la reconnaissance pré-opérationnelle et l’exploitation du réseau contre des infrastructures critiques telles que nos secteurs des communications, de l’énergie, des transports et de l’eau”, a déclaré Wray. « En d’autres termes, les mesures que la Chine prenait pour trouver et se préparer à détruire ou à dégrader les infrastructures civiles critiques qui assurent notre sécurité et notre prospérité. Et soyons clairs : les cybermenaces contre nos infrastructures critiques représentent des menaces réelles pour notre sécurité physique. “
Dans un avis de cybersécurité de la CISA de mai qui offrait des informations techniques supplémentaires sur Volt Typhoon, l’agence a déclaré que le groupe de menace d’État-nation utilisait des techniques de subsistance de la terre, ce qui signifie qu’il utilise des outils d’administration réseau intégrés tels que PowerShell, wmic et ntdsutil pour éviter les produits de détection et de réponse des points finaux.
L’agence a également publié mercredi un guide de ressources contenant des recommandations de conception sécurisée pour les fabricants de routeurs SOHO. En plus d’éliminer les « défauts exploitables », la CISA a exhorté les fabricants à ajuster les configurations par défaut pour permettre les mises à jour automatiques et à exiger des remplacements manuels pour modifier les paramètres de sécurité.
Malgré les inquiétudes concernant les opérations de piratage chinoises, Sandra Joyce, vice-présidente de Mandiant Intelligence chez Google Cloud, a exprimé son optimisme quant à la lutte contre Volt.
“Le but de Volt Typhoon était de se préparer tranquillement à une éventualité sans attirer l’attention sur lui-même. Heureusement, Volt Typhoon n’est pas passé inaperçu. Et même si la chasse est difficile, nous nous adaptons déjà pour améliorer la collecte de renseignements et contrecarrer cet acteur. Nous voyons lorsqu’ils arrivent, nous savons comment les identifier, et surtout, nous savons comment renforcer les réseaux qu’ils ciblent”, a-t-elle déclaré dans une déclaration partagée avec TechTarget Editorial.
TechTarget Editorial a contacté le FBI pour des commentaires supplémentaires.
Alexander Culafi est un rédacteur, journaliste et podcasteur sur la sécurité de l’information basé à Boston.