Les pirates informatiques chinois du typhon Volt ont rôdé dans le réseau électrique américain pendant près d'un an

Se traduisent par :

Une cyberattaque récemment révélée a révélé une réalité inquiétante : un groupe de pirates informatiques soutenu par l'État chinois, connu sous le nom de Volt Typhoon, a secrètement infiltré le réseau d'une compagnie d'électricité américaine et est resté indétectable pendant plus de 300 jours. L'attaque, qui a visé les services d'électricité et d'eau de Littleton (LELWD), dans le Massachusetts, met en évidence la menace croissante qui pèse sur les infrastructures critiques américaines.

Table des matières

L'intrusion du typhon Volt : une opération de cyberespionnage de 300 jours

Selon Dragos, société de sécurité ICS/OT, Volt Typhoon a accédé au réseau de LELWD en février 2023. Sa présence est passée inaperçue jusqu'en novembre 2023, date à laquelle Dragos a détecté l'intrusion lors de la mise en œuvre de ses solutions de sécurité au sein de l'entreprise. Cette découverte a conduit à un déploiement accéléré des défenses de Dragos pour atténuer la faille.

Volt Typhoon, également connu sous le nom de Voltzite, a été identifié publiquement pour la première fois en mai 2023 par Microsoft, qui l'a lié au gouvernement chinois. Depuis, le groupe s'est forgé une réputation pour ses campagnes de cyberespionnage ultra-sophistiquées, ciblant les infrastructures critiques américaines.

Que recherchaient les pirates informatiques ?

Contrairement aux groupes cybercriminels classiques qui visent le rançongiciel ou le profit, les activités de Volt Typhoon témoignent d'un objectif stratégique à long terme. Selon Dragos, les pirates :

Accès à long terme maintenu au réseau de technologie opérationnelle (OT) du service public, qui contrôle l'infrastructure physique.
Vol de données sensibles liées aux OT , y compris les procédures opérationnelles et les configurations du système.
Données exfiltrées du système d'information géographique (SIG) , qui contiennent des détails essentiels sur la configuration spatiale du réseau énergétique.

Ce type de renseignement pourrait permettre de futures attaques cyberphysiques, où les pirates non seulement perturbent les systèmes à distance, mais savent également exactement quoi cibler pour un maximum de dégâts.

Pourquoi s’agit-il d’une préoccupation majeure en matière de sécurité ?

Dragos a averti que même si Volt Typhoon n'a pas encore été observé en train de perturber activement les systèmes de contrôle industriel (ICS), son accès persistant et son exfiltration de données signalent des préparatifs potentiels pour de futures attaques.

La Cyber Kill Chain de l'ICS classe les attaques en plusieurs étapes. Pour l'instant, Volt Typhoon semble en être au stade 1, qui implique la reconnaissance et le vol de données. Cependant, s'il passe au stade 2, il pourrait développer et tester des attaques ciblées sur les réseaux électriques, les réseaux d'eau et d'autres infrastructures critiques des États-Unis.

La stratégie de cyberguerre de la Chine : préparer le terrain pour de futures attaques ?

Cet incident s'inscrit dans un schéma plus large de cyberespionnage chinois ciblant les infrastructures américaines. Les experts en sécurité estiment que des groupes comme Volt Typhoon ne se contentent pas de surveiller les infrastructures, mais préparent le terrain à de potentiels conflits futurs.

En infiltrant et en cartographiant les systèmes critiques des années à l'avance, la Chine pourrait se positionner pour lancer des cyberattaques dévastatrices en cas d'escalade des tensions géopolitiques. Cela rejoint les avertissements précédents des agences de renseignement américaines, qui ont averti que la Chine explore activement les infrastructures américaines à la recherche de vulnérabilités.

La nécessité d'une sécurité OT renforcée

L'incident LELWD constitue un signal d'alarme pour tous les services publics et les fournisseurs d'infrastructures critiques. Nombre de petits services publics ne disposent pas des ressources en cybersécurité des grandes organisations, ce qui en fait des cibles de choix pour les pirates informatiques étatiques.

L'étude de cas de Dragos souligne l'importance de la surveillance en temps réel, de la segmentation du réseau et de la détection des intrusions pour protéger les environnements OT. Sans ces défenses, les pirates informatiques peuvent rester indétectables pendant des mois, voire des années, collectant des renseignements et se préparant à une éventuelle cyberguerre.

Une menace croissante qui ne peut être ignorée

L'attaque Volt Typhoon sur LELWD prouve que les pirates informatiques des États-nations sont déjà à l'intérieur des infrastructures critiques des États-Unis, non seulement pour tester les défenses, mais aussi pour collecter activement des renseignements en vue d'attaques futures potentielles.

Face à l’augmentation des tensions géopolitiques et à l’évolution des cybermenaces, les États-Unis doivent donner la priorité au renforcement de leurs cyberdéfenses, avant qu’il ne soit trop tard.

Le dépôt de bilan de Digital River GmbH, le processeur de paiement d'EnigmaSoft, n'a pas d'impact sur la protection anti-malware des clients de SpyHunter

Rechercher

Changer de région