Le gouvernement américain a déclaré mercredi que le groupe de piratage informatique parrainé par l’État chinois et connu sous le nom de Typhon Volt étaient intégrés dans certains réseaux d’infrastructures critiques du pays depuis au moins cinq ans.
Les cibles de l’acteur menaçant comprennent les secteurs des communications, de l’énergie, des transports et des systèmes d’eau et d’assainissement aux États-Unis et à Guam.
“Le choix des cibles et le comportement de Volt Typhoon ne sont pas cohérents avec les opérations traditionnelles de cyberespionnage ou de collecte de renseignements, et les agences auteurs américaines évaluent avec une grande confiance que les acteurs de Volt Typhoon se prépositionnent sur les réseaux informatiques pour permettre un mouvement latéral vers les actifs OT. pour perturber les fonctions”, a déclaré le gouvernement américain.
L’avis conjoint, publié par la Cybersecurity and Infrastructure Security Agency (CISA), la National Security Agency (NSA) et le Federal Bureau of Investigation (FBI), a également été soutenu par d’autres pays faisant partie du Five Eyes (FVEY). ) alliance de renseignement comprenant l’Australie, le Canada, la Nouvelle-Zélande et le Royaume-Uni
Volt Typhoon – également appelé Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda ou Voltzite – est un groupe de cyberespionnage furtif basé en Chine qui serait actif depuis juin 2021.
Cela a été révélé pour la première fois en mai 2023 lorsque Microsoft a révélé que l’équipe de pirates informatiques avait réussi à s’implanter de manière persistante dans des organisations d’infrastructures critiques aux États-Unis et à Guam pendant de longues périodes sans être détectée, en tirant principalement parti du fait de vivre de la terre (LotL ) techniques.
“Ce type de métier, connu sous le nom de” vivre de la terre “, permet aux attaquants d’opérer discrètement, les activités malveillantes se mêlant au comportement légitime du système et du réseau, ce qui rend difficile la différenciation – même par les organisations ayant des postures de sécurité plus matures”, a déclaré le Royaume-Uni. » a déclaré le Centre national de cybersécurité (NCSC).
Une autre tactique caractéristique adoptée par Volt Typhoon est l’utilisation de proxys multi-sauts comme le botnet KV pour acheminer le trafic malveillant à travers un réseau de routeurs et de pare-feu compromis aux États-Unis afin de masquer ses véritables origines.
La société de cybersécurité CrowdStrike, dans un rapport publié en juin 2023, a souligné sa dépendance à l’égard d’un vaste arsenal d’outils open source contre un nombre restreint de victimes pour atteindre ses objectifs stratégiques.
“Les acteurs de Volt Typhoon effectuent une reconnaissance approfondie avant l’exploitation pour en savoir plus sur l’organisation cible et son environnement ; adaptent leurs tactiques, techniques et procédures (TTP) à l’environnement de la victime ; et consacrent des ressources continues au maintien de la persistance et à la compréhension de l’environnement cible au fil du temps. , même après un compromis initial”, ont noté les agences.
“Le groupe s’appuie également sur des comptes valides et s’appuie sur une sécurité opérationnelle solide, qui, combinées, permettent une persistance non découverte à long terme.”
En outre, il a été observé que l’État-nation tentait d’obtenir des informations d’identification d’administrateur au sein du réseau en exploitant des failles d’élévation de privilèges, exploitant ensuite l’accès élevé pour faciliter les mouvements latéraux, la reconnaissance et la compromission complète du domaine.
Le but ultime de la campagne est de conserver l’accès aux environnements compromis, en les reciblant « méthodiquement » au fil des années pour valider et étendre leurs accès non autorisés. Cette approche méticuleuse, selon les agences, est mise en évidence dans les cas où elles ont exfiltré à plusieurs reprises les informations d’identification de domaine pour garantir l’accès à des comptes actuels et valides.
“En plus d’exploiter les identifiants de compte volés, les acteurs utilisent des techniques LOTL et évitent de laisser des artefacts de logiciels malveillants sur les systèmes qui pourraient provoquer des alertes”, ont déclaré la CISA, le FBI et la NSA.
« Leur forte concentration sur la furtivité et la sécurité opérationnelle leur permet de maintenir une persistance à long terme et non découverte. De plus, la sécurité opérationnelle de Volt Typhoon est renforcée par la suppression ciblée des journaux pour dissimuler leurs actions dans l’environnement compromis.
Cette évolution intervient alors que le Citizen Lab a révélé un réseau d’au moins 123 sites Web se faisant passer pour des médias locaux répartis dans 30 pays d’Europe, d’Asie et d’Amérique latine, qui promeut du contenu pro-Chine dans le cadre d’une vaste campagne d’influence liée à une société de relations publiques de Pékin nommée Shenzhen. Haimaiyunxiang Media Co., Ltd.
L’organisme de surveillance numérique basé à Toronto, qui a surnommé l’opération d’influence PAPERWALL, a déclaré qu’il partageait des similitudes avec HaiEnergy, bien qu’il s’agisse d’opérateurs différents et de TTP uniques.
“Une caractéristique centrale de PAPERWALL, observée à travers le réseau de sites Web, est la nature éphémère de ses composants les plus agressifs, selon lesquels les articles attaquant les critiques de Pékin sont systématiquement supprimés de ces sites Web quelque temps après leur publication”, a déclaré le Citizen Lab.
Dans une déclaration partagée avec Reuters, un porte-parole de l’ambassade de Chine à Washington a déclaré que « c’est un parti pris typique et une double norme que de prétendre que les contenus et les rapports pro-Chine sont de la « désinformation » et de qualifier les contenus et les rapports anti-Chine de véritables informations. .'”