Le département du Trésor américain a sanctionné la société de cybersécurité basée à Pékin Integrity Tech pour son implication dans des cyberattaques attribuées au groupe de piratage Flax Typhoon parrainé par l’État chinois.
Comme l’a déclaré vendredi l’Office of Foreign Assets Control (OFAC) du Trésor, les pirates informatiques parrainés par l’État chinois ont utilisé l’infrastructure de l’entreprise pour lancer des attaques ciblant des réseaux de victimes en Europe et aux États-Unis pendant plus d’un an, à partir de l’été 2022.
« Entre l’été 2022 et l’automne 2023, les acteurs du typhon du lin ont utilisé une infrastructure liée à Integrity Tech lors de leurs activités d’exploitation de réseaux informatiques contre de multiples victimes. Pendant ce temps, Flax Typhoon envoyait et recevait régulièrement des informations de l’infrastructure Integrity Tech », a déclaré l’OFAC.
« Les acteurs ont utilisé de manière malveillante des logiciels de réseau privé virtuel et des protocoles de bureau à distance pour faciliter cet accès. À l’été 2023, Flax Typhoon a compromis plusieurs serveurs et postes de travail dans une entité basée en Californie. »
Ces sanctions font suite à une opération autorisée par le tribunal en septembre 2024 visant à perturber un botnet de centaines de milliers d’appareils grand public et de petites entreprises aux États-Unis et dans le monde contrôlé par le groupe de menaces chinois et suivi sous le nom de « Raptor Train ». »
Comme le FBI l’a révélé à l’époque, en coordination avec la Cyber National Mission Force, la NSA et Five Eye partners, Flax Typhoon a utilisé ce botnet pour des attaques DDoS et comme proxy pour lancer des attaques furtives contre des entités de l’armée, du gouvernement, de l’enseignement supérieur, télécommunications, base industrielle de défense (DIB) et secteurs informatiques, principalement aux États-Unis et à Taiwan.
En quatre ans d’activité, depuis mai 2020, Raptor Train est devenu un réseau massif à plusieurs niveaux avec un système de contrôle de niveau entreprise et a infecté plus de 260 000 périphériques réseau, y compris des routeurs et des modems, des NVR et DVR, des caméras IP et des serveurs de stockage en réseau (NAS).
Le directeur du FBI, Christopher Wray, a déclaré lors du Cyber Summit d’Aspen en septembre que Flax Typhoon travaillait sous la direction du gouvernement chinois.
« Le typhon du lin a compromis les réseaux informatiques en Amérique du Nord, en Europe, en Afrique et en Asie, avec un accent particulier sur Taiwan », a ajouté l’OFAC aujourd’hui. « Flax Typhoon exploite des vulnérabilités connues du public pour obtenir un accès initial aux ordinateurs des victimes, puis exploite un logiciel d’accès à distance légitime pour maintenir un contrôle persistant sur leur réseau. Le typhon du lin a ciblé des victimes dans un large éventail d’industries. »
À la suite des sanctions d’aujourd’hui, il est interdit aux organisations et aux citoyens américains d’effectuer des transactions avec Integrity Tech (abréviation d’Integrity Technology Group, Incorporated). De plus, tous les actifs aux États-Unis qui leur sont associés seront gelés. Les institutions financières américaines et les entités étrangères qui effectuent des transactions avec elles peuvent également être passibles de sanctions.
Lundi, le Département du Trésor a révélé que des acteurs inconnus de la menace du gouvernement chinois avaient piraté son réseau. Depuis lors, des responsables américains ont déclaré que les attaquants ciblaient spécifiquement le département OFAC de l’agence, susceptible de recueillir des renseignements sur les futures sanctions visant des individus et des organisations chinoises.
Un autre groupe de piratage soutenu par l’État chinois, connu sous le nom de « Typhon de sel », a également été lié à une vague de violations affectant neuf entreprises de télécommunications américaines, dont Verizon, AT&T et Lumen.