Les pirates informatiques chinois du Volt Typhoon ont opéré sans être détectés pendant 5 ans dans une infrastructure critique aux États-Unis

Le gouvernement américain a récemment révélé qu'un groupe de piratage sophistiqué parrainé par l'État chinois, identifié sous le nom de Volt Typhoon , avait réussi à infiltrer des réseaux d'infrastructures critiques aux États-Unis et à Guam, sans être détecté pendant cinq années stupéfiantes. Ces systèmes critiques ciblés par Volt Typhoon couvrent divers secteurs, notamment les communications, l'énergie, les transports et la gestion de l'eau et des eaux usées.

Ce qui distingue les activités de Volt Typhoon est leur approche non conventionnelle, qui s'écarte des opérations classiques de cyberespionnage. Selon les autorités américaines, les tactiques du groupe suggèrent une tentative préméditée de s'implanter au sein des réseaux informatiques, leur permettant de se diriger vers des actifs de technologie opérationnelle (OT) dans l'intention de perturber des fonctions essentielles .

L'avis conjoint publié par la Cybersecurity and Infrastructure Security Agency (CISA), la National Security Agency (NSA) et le Federal Bureau of Investigation (FBI), avec le soutien des pays de l'alliance de renseignement Five Eyes, souligne la gravité de la situation. Ce groupe de hackers, également connu sous les noms de Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda ou Voltzite, est actif depuis au moins juin 2021.

Le mode opératoire de Volt Typhoon implique l'utilisation de techniques avancées telles que « vivre de la terre » (LotL), leur permettant d'opérer secrètement en mélangeant des activités malveillantes avec un comportement légitime du réseau. De plus, ils utilisent des proxys multi-sauts comme le botnet KV pour masquer les origines de leurs attaques, ce qui rend l'attribution difficile.

CrowdStrike, une société de cybersécurité, a souligné le recours de Volt Typhoon à une vaste gamme d'outils open source adaptés à des victimes spécifiques, démontrant un haut niveau de sophistication et de planification stratégique. Le groupe effectue méticuleusement des reconnaissances, adapte ses tactiques aux environnements cibles et maintient sa persévérance grâce à l'utilisation de comptes valides et de solides mesures de sécurité opérationnelle.

L'un de leurs principaux objectifs est d'obtenir des informations d'identification d'administrateur au sein des réseaux, en exploitant les failles d'élévation de privilèges pour faciliter les mouvements latéraux et la reconnaissance. Leur stratégie à long terme consiste à maintenir l’accès aux environnements compromis, à affiner continuellement leurs techniques pour échapper à la détection et étendre les accès non autorisés.

En plus des informations d'identification volées, Volt Typhoon utilise des techniques LotL pour éviter de laisser des traces de logiciels malveillants, améliorant ainsi leur furtivité et leur sécurité opérationnelle. Ils vont jusqu’à supprimer des journaux ciblés pour dissimuler leurs actions dans des environnements compromis, compliquant encore davantage les efforts visant à découvrir leurs activités.

Cette révélation coïncide avec les conclusions du Citizen Lab concernant une vaste campagne d'influence, baptisée PAPERWALL, impliquant plus de 123 sites Web se faisant passer pour des organes d'information locaux dans 30 pays. Ces sites Web, liés à une société de relations publiques basée à Pékin, nommée Shenzhen Haimaiyunxiang Media Co., Ltd., diffusent du contenu pro-chinois tout en supprimant les articles critiques après leur publication.

Alors que l'ambassade de Chine à Washington rejette les allégations de désinformation, ces incidents soulignent l'inquiétude croissante concernant les cybercapacités de la Chine et son influence sur les opérations à l'échelle mondiale.