Microsoft affirme qu’un groupe de cyberespionnage chinois qu’il suit alors que Volt Typhoon cible des organisations d’infrastructures critiques à travers les États-Unis, y compris Guam, une île abritant plusieurs bases militaires, depuis au moins la mi-2021.

Leurs cibles et entités violées couvrent un large éventail de secteurs critiques, notamment le gouvernement, le maritime, les communications, la fabrication, les technologies de l’information, les services publics, les transports, la construction et l’éducation.

« Microsoft évalue avec une confiance modérée que cette campagne Volt Typhoon poursuit le développement de capacités qui pourraient perturber les infrastructures de communication critiques entre les États-Unis et la région Asie lors de futures crises », a déclaré l’équipe Microsoft Threat Intelligence.

Le vecteur d’attaque initial est la compromission des appareils Fortinet FortiGuard exposés à Internet en exploitant une vulnérabilité zero-day inconnue.

Après avoir violé les réseaux des cibles, ils lancent ce que Microsoft décrit comme des attaques « vivant hors de la terre » avec une activité pratique au clavier et des binaires vivant hors de la terre (LOLBins) tels que PowerShell, Certutil, Netsh, et la ligne de commande Windows Management Instrumentation (WMIC).

Cependant, ils ont également été vus en train d’utiliser des outils open source tels que Fast Reverse Proxy (frp), l’outil de vol d’informations d’identification Mimikatz et le cadre de mise en réseau Impacket, selon un avis conjoint publié aujourd’hui par le FBI, la NSA, la CISA et Five Eyes. partenaires agences de cybersécurité d’Australie, de Nouvelle-Zélande, du Royaume-Uni et du Canada.

Pour s’assurer que leurs activités malveillantes se mélangent au trafic réseau légitime pour échapper à la détection, Volt Typhoon utilise des équipements réseau compromis pour petits bureaux et bureaux à domicile (SOHO) d’ASUS, Cisco, D-Link, Netgear, FatPipe et Zyxel, tels que des routeurs, des pare-feu , et appareils VPN.

Tirer parti de l’accès privilégié obtenu après avoir compromis les appareils Fortinet permet aux pirates de l’État de vider les informations d’identification via le service de sous-système de l’autorité de sécurité locale (LSASS).

Les informations d’identification volées leur permettent de déployer des shells Web basés sur Awen pour l’exfiltration et la persistance des données sur les systèmes piratés.

Comme l’a déclaré John Hultquist, analyste en chef de Mandiant Intelligence, à Breachtrace, ces intrusions dans les organisations d’infrastructures critiques américaines font probablement partie d’un effort concerté visant à fournir un accès à la Chine en cas de futur conflit entre les deux pays.

« Il existe diverses raisons pour lesquelles les acteurs ciblent les infrastructures critiques, mais une concentration persistante sur ces secteurs peut indiquer une préparation à une cyberattaque perturbatrice ou destructrice », a déclaré Hultquist.

« Les États procèdent à des intrusions à long terme dans des infrastructures essentielles pour se préparer à un éventuel conflit, car il peut tout simplement être trop tard pour y accéder en cas de conflit. Des intrusions d’urgence similaires sont régulièrement menées par les États.

« Au cours de la dernière décennie, la Russie a ciblé une variété de secteurs d’infrastructures critiques dans des opérations qui, selon nous, n’étaient pas conçues pour un effet immédiat. La Chine a fait de même dans le passé, ciblant le secteur pétrolier et gazier. Ces opérations sont agressives et potentiellement dangereux, mais ils n’indiquent pas nécessairement que des attaques se profilent. »

Conformément à ses procédures standard pour traiter l’activité des acteurs de l’État-nation, Microsoft affirme avoir contacté de manière proactive tous les clients qui ont été ciblés ou compromis dans ces attaques pour leur fournir les informations nécessaires pour sécuriser leurs réseaux contre de futures tentatives de piratage.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *