Le groupe de cyberespionnage chinois Volt Typhoon a infiltré un réseau d’infrastructures critiques aux États-Unis et est resté inaperçu pendant au moins cinq ans avant d’être découvert, selon un avis conjoint de la CISA, de la NSA, du FBI et des agences partenaires Five Eyes.
Les pirates informatiques de Volt Typhoon sont connus pour utiliser largement les techniques de living off the land (LOTL) dans le cadre de leurs attaques contre les organisations d’infrastructures critiques.
Ils utilisent également des comptes volés et tirent parti d’une sécurité opérationnelle renforcée, ce qui leur permet d’éviter la détection et de maintenir une persistance à long terme sur les systèmes compromis.
« En fait, les agences de rédaction américaines ont récemment observé des indications selon lesquelles des acteurs du typhon Volt maintenaient l’accès et les points d’ancrage dans certains environnements informatiques des victimes pendant au moins cinq ans », ont déclaré les agences.
« Les acteurs du typhon Volt effectuent une reconnaissance préalable à l’exploitation approfondie pour en savoir plus sur l’organisation cible et son environnement; adapter leurs tactiques, techniques et procédures (TTP) à l’environnement de la victime; et consacrer des ressources continues au maintien de la persistance et à la compréhension de l’environnement cible au fil du temps, même après un compromis initial. »
Le groupe de menaces chinois a réussi à pirater les réseaux de plusieurs organisations d’infrastructures critiques à travers les États-Unis tout en ciblant principalement les secteurs des communications, de l’énergie, des transports et de l’eau et des eaux usées.
Ses cibles et ses tactiques divergent également des activités typiques de cyberespionnage, ce qui amène les autorités à conclure avec une grande confiance que le groupe vise à se positionner au sein de réseaux qui leur donnent accès à des actifs de Technologie opérationnelle (OT) dans le but final de perturber les infrastructures critiques.
Les autorités américaines craignent également que le Volt Typhoon exploite cet accès à des réseaux critiques pour provoquer des effets perturbateurs, en particulier dans le contexte de conflits militaires potentiels ou de tensions géopolitiques.
« Les acteurs de Volt Typhoon cherchent à se prépositionner—en utilisant des techniques de vie terrestre (LOTL) – sur des réseaux informatiques pour une cyberactivité perturbatrice ou destructrice contre les infrastructures critiques américaines en cas de crise majeure ou de conflit avec les États-Unis », a averti CISA.
« C’est quelque chose que nous abordons depuis longtemps », a déclaré Rob Joyce, Directeur de la cybersécurité de la NSA et Directeur national adjoint des Systèmes de sécurité nationale (NSS).
« Nous nous sommes améliorés dans tous les aspects de cela, de la compréhension de la portée de Volt Typhoon à l’identification des compromis susceptibles d’avoir un impact sur les systèmes d’infrastructure critiques, au durcissement des cibles contre ces intrusions, en passant par la collaboration avec les agences partenaires pour lutter contre les cyberacteurs de la RPC. »
Conseils d’atténuation pour les défenseurs de réseau
L’avis d’aujourd’hui est également accompagné d’un guide technique contenant des informations sur la façon de détecter les techniques de Volt Typhoon et si elles ont été utilisées pour compromettre les réseaux de leur organisation, ainsi que des mesures d’atténuation pour les protéger contre les attaquants utilisant des techniques de vie hors de la terre.
Le groupe de menaces chinois, également connu sous le nom de Bronze Silhouette, cible et viole des infrastructures critiques américaines depuis au moins la mi-2021, selon un rapport publié en mai 2023 par Microsoft.
Tout au long de leurs attaques, ils ont également utilisé un botnet de centaines de petits bureaux/bureaux à domicile (SOHO) à travers les États-Unis (surnommé KV-botnet) pour cacher leur activité malveillante et échapper à la détection.
Le FBI a perturbé le botnet KV en décembre 2023, et les pirates n’ont pas réussi à reconstruire l’infrastructure démantelée après que les laboratoires Black Lotus de Lumen aient démantelé tous les serveurs C2 et de charge utile restants.
Le jour où le coup sur le botnet KV a été divulgué, CISA et le FBI ont également exhorté les fabricants de routeurs SOHO à s’assurer que leurs appareils sont protégés contre les attaques Volt Typhoon en éliminant les failles de l’interface de gestion Web pendant le développement et en utilisant des paramètres de configuration sécurisés par défaut.