Typhon de soie Des pirates informatiques soutenus par l’État chinois auraient violé un bureau du Département du Trésor qui examine les investissements étrangers pour détecter les risques pour la sécurité nationale.
CNN a rapporté vendredi, citant des responsables américains au courant de l’affaire, que les attaquants avaient eu accès aux systèmes du Comité sur les investissements étrangers aux États-Unis (CFIUS).
Le CFIUS est un bureau gouvernemental et un comité interinstitutions autorisé à examiner les investissements étrangers et les transactions immobilières afin de déterminer leur effet sur la sécurité nationale des États-Unis.
Les mêmes attaquants ont également violé l’Office of Foreign Assets Control( OFAC), un autre bureau du département du Trésor qui administre les programmes de sanctions commerciales et économiques, en utilisant une clé API SaaS BeyondTrust Remote Support volée pour violer le réseau du département.
Depuis lors, des responsables américains ont révélé que les acteurs de la menace ciblaient spécifiquement l’OFAC—qui administre et applique les programmes de sanctions commerciales et économiques – et visaient probablement à recueillir des renseignements sur des personnes et des organisations chinoises que les États-Unis pourraient envisager de sanctionner.
Lundi, la CISA a déclaré que la violation du Département du Trésor n’avait pas d’impact sur les autres agences fédérales, suivie d’un rapport Bloomberg de mercredi attribuant l’attaque au groupe de piratage Silk Typhoon.
Le rapport a confirmé l’hypothèse du vol de renseignements et a déclaré que, selon des personnes familières avec l’incident, le groupe aurait utilisé la clé numérique BeyondTrust volée « pour accéder à des informations non classifiées relatives à d’éventuelles sanctions et à d’autres documents. »
Le typhon de soie (Hafnium) a également piraté le Bureau de la recherche financière du Trésor. Cependant, l’impact de cet incident est toujours en cours d’évaluation et les enquêteurs n’ont pas encore trouvé de preuves que les pirates informatiques chinois ont maintenu l’accès aux systèmes de Trésorerie après la fermeture de l’instance BeyondTrust piratée.
Ce groupe de piratage de l’État-nation chinois est connu pour attaquer un large éventail d’organisations aux États-Unis, en Australie, au Japon et au Vietnam, allant des entrepreneurs de la défense, des groupes de réflexion sur les politiques et des organisations non gouvernementales (ONG) aux soins de santé, aux cabinets d’avocats et aux entités d’enseignement supérieur.
Les campagnes de cyberespionnage du groupe de piratage soutenu par l’État se concentrent principalement sur la reconnaissance et le vol de données, en utilisant des vulnérabilités logicielles zero-day et des outils de piratage comme le shell Web China Chopper.
Silk Typhoon est devenu largement connu début 2021 après avoir exploité les failles zero-day de ProxyLogon affectant Microsoft Exchange Server, compromettant environ 68 500 serveurs avant la publication des correctifs de sécurité.