La CISA, la NSA, le FBI et plusieurs autres agences aux États-Unis et dans le monde ont averti les dirigeants d’infrastructures critiques de protéger leurs systèmes contre le groupe de piratage chinois Volt Typhoon.
En collaboration avec la NSA, le FBI, d’autres agences gouvernementales américaines et des agences de cybersécurité partenaires de Five Eyes, y compris des agences de cybersécurité d’Australie, du Canada, du Royaume-Uni et de Nouvelle-Zélande, il a également publié des conseils de défense sur la détection et la défense contre les attaques Volt Typhoon.
Le mois dernier, ils ont également averti que des pirates informatiques chinois avaient violé plusieurs organisations d’infrastructures critiques américaines et maintenu l’accès à au moins l’une d’entre elles pendant au moins cinq ans avant d’être découverts.
Les autorités ont observé que les cibles et les tactiques du groupe de cyberespionnage Volt Typhoon diffèrent des activités typiques, suggérant que leur objectif est d’obtenir l’accès aux actifs de technologie opérationnelle (OT) au sein des réseaux, qui pourraient être exploités pour perturber les infrastructures critiques.
Les autorités américaines craignent que ce groupe chinois n’exploite un tel accès pour perturber davantage les infrastructures critiques et provoquer des perturbations lors de conflits militaires ou de tensions géopolitiques.
Aujourd’hui, CISA et les agences gouvernementales américaines partenaires (y compris le ministère de l’Énergie, l’Agence de protection de l’Environnement, la Transportation Security Administration et le département du Trésor) ont conseillé aux dirigeants des infrastructures critiques de donner à leurs équipes de cybersécurité les moyens de prendre des décisions éclairées en matière de ressources, de sécuriser leur chaîne d’approvisionnement et de s’assurer que les résultats de la gestion de la performance correspondent aux objectifs cybernétiques de leur organisation.
« Les meilleures pratiques clés pour vos équipes de cybersécurité consistent à s’assurer que la journalisation, y compris pour l’accès et la sécurité, est activée pour les applications et les systèmes et que les journaux sont stockés dans un système central. Une exploitation forestière robuste est nécessaire pour détecter et atténuer la vie sur la terre », indique le guide conjoint [PDF].
« Demandez à vos équipes informatiques quels journaux ils conservent car certains journaux révèlent des commandes (référencées dans le CSA) utilisées par les acteurs de Volt Typhoon. Si vos équipes informatiques ne disposent pas des journaux pertinents, demandez de quelles ressources elles peuvent avoir besoin pour détecter efficacement les compromis. »
Également connu sous le nom de Bronze Silhouette, Volt Typhoon cible et viole les organisations d’infrastructures critiques américaines depuis au moins la mi-2021.
Les pirates chinois ont également utilisé un botnet de centaines de petits bureaux/bureaux à domicile (SOHO) à travers les États-Unis (surnommé KV-botnet) tout au long de leurs attaques pour cacher leur activité malveillante et échapper à la détection.
Le FBI a perturbé le botnet KV du groupe en décembre, mais les pirates n’ont pas réussi à le reconstruire après que Black Lotus Labs de Lumen ait coulé les serveurs C2 et payload restants.
Après le démantèlement du botnet KV, CISA et le FBI ont exhorté les fabricants de routeurs SOHO à sécuriser leurs appareils contre les attaques Volt Typhoon en utilisant des paramètres de configuration sécurisés par défaut et en éliminant les failles de l’interface de gestion Web pendant le développement.