ClickCease Logiciel malveillant Volt Typhoon : Violation de l'infrastructure critique des États-Unis

Logiciel malveillant Volt Typhoon : Violation de l'infrastructure critique des États-Unis

Wajahat Raja

Le 22 février 2024 - L'équipe d'experts de TuxCare

Le gouvernement américain a récemment révélé que le groupe de pirates informatiques parrainé par l'État chinois, Volt Typhoon a subrepticement infiltré les réseaux d'infrastructures critiques du pays pendant une période stupéfiante de cinq ans. Ce logiciel malveillant logiciel malveillant intégré intégré de Volt Typhoon a ciblé des secteurs vitaux pour le pays, notamment les communications, l'énergie, les transports et les systèmes d'approvisionnement en eau et de traitement des eaux usées, tant aux États-Unis qu'à Guam.

 

Vulnérabilités des infrastructures américaines - Des tactiques non conventionnelles sonnent l'alarme


Les agences gouvernementales américaines, notamment l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA), l'Agence nationale de sécurité (NSA) et le Bureau fédéral d'enquête (FBI), ont fait part de leur inquiétude au sujet du projet Volt Typhoon.
Volt Typhoonont exprimé leur inquiétude quant aux tactiques atypiques de Volt Typhoon. Contrairement au cyberespionnage conventionnelles, les Volt Typhoon ont adopté un comportement unique, ce qui a éveillé les soupçons quant à leurs véritables intentions.

L'évaluation suppose que le Volt Typhoon se positionne stratégiquement sur les réseaux informatiques, préparant le terrain pour d'éventuelles cyberattaques perturbatrices ou destructrices contre les infrastructures critiques des États-Unis. la sécurité des infrastructures critiques des États-Unis lors d'une crise ou d'un conflit majeur.


La collaboration internationale valide les inquiétudes


La gravité de la situation est soulignée par un avis conjoint des États-Unis et de leurs alliés en matière de renseignement, l'alliance Five Eyes (FVEY), composée de l'Australie, du Canada, de la Nouvelle-Zélande et du Royaume-Uni.
Volt Typhoon et la nécessité d'une réponse unifiée. Cela montre que les atteintes à la sécurité des infrastructures peuvent avoir des conséquences dévastatrices, compromettant des données sensibles et perturbant des opérations critiques.


Volt Typhoon : Un adversaire furtif


Anciennement connu sous les noms de Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda ou Voltzite,
Volt Typhoon est un groupe clandestin de cyberespionnage basé en Chine. juin 2021. Son existence a été révélée en mai 2023 lorsque FVEY et Microsoft ont divulgué l'infiltration persistante du groupe dans des organisations d'infrastructures critiques aux États-Unis et à Guam, à l'aide de techniques sophistiquées de "living-off-the-land" (LotL).


Vivre de la terre : Un savoir-faire furtif


Volt Typhoon
L'utilisation par Volt Typhoon de techniques de "vie hors sol". lui permet d'opérer discrètement, en mélangeant de manière transparente des activités malveillantes avec le comportement légitime du système et du réseau. Cette habileté rend difficile la détection et la différenciation des activités de Volt Typhoon, même pour les organisations dotées d'un dispositif de sécurité mature.


Origines occultées : Le rôle des mandataires multi-sauts


Pour dissimuler ses véritables origines,
Volt Typhoon utilise des proxys multi-sauts, tels que le KV-botnet, pour acheminer le trafic malveillant via des routeurs et des pare-feu compromis aux États-Unis. Cette tactique ajoute une couche supplémentaire de complexité, ce qui rend difficile le repérage de la source de ces menaces persistantes.


Le rapport de CrowdStrike met en évidence l'approche stratégique


Un rapport de l'entreprise de cybersécurité CrowdStrike publié en juin 2023 fait la lumière sur
Volt Typhoonde Volt Typhoon. Le groupe s'appuie sur un vaste arsenal d'outils open-source adaptés à un ensemble spécifique de victimes, ce qui témoigne d'une méthodologie calculée et ciblée. Les efforts de reconnaissance préalables à l'exploitation garantissent une connaissance approfondie de l'environnement cible, ce qui permet d'élaborer des tactiques et des procédures sur mesure pour une persistance à long terme.


Poursuite de l'obtention des titres d'administrateur


Le mode opératoire de Volt Typhoon
Le mode opératoire de Volt Typhoon consiste à exploiter des failles d'escalade de des failles d'escalade de privilèges pour obtenir des informations d'identification d'administrateur au sein du réseau. Cet accès élevé facilite ensuite les mouvements latéraux, la reconnaissance et la compromission de l'ensemble du domaine.

L'objectif ultime est de maintenir l'accès aux environnements compromis, en les reciblant systématiquement au fil des ans pour valider et étendre les accès non autorisés. Les organisations doivent donc rester vigilantes face aux menaces persistantes avancées (APT) afin de protéger leurs actifs numériques et de maintenir leur intégrité opérationnelle.

 

Persistance non détectée et sécurité opérationnelle

 

Volt Typhoon se distingue par l'importance qu'il accorde à la furtivité et à la sécurité opérationnelle, en échappant à la détection des cyberattaques. détection des cyberattaques pendant de longues périodes. L'accent mis par le groupe sur la suppression ciblée des journaux dissimule ses actions dans des environnements compromis, garantissant ainsi une persistance à long terme sans être découvert.


Citizen Lab dévoile une campagne d'influence généralisée


Parallèlement à ces révélations, le Citizen Lab a mis au jour un réseau de 123 sites web usurpant l'identité d'organes de presse locaux dans 30 pays et menant une vaste campagne d'influence. Liée à une société de relations publiques de Pékin, Shenzhen Haimaiyunxiang Media Co. Ltd, l'opération, baptisée PAPERWALL, présente des similitudes avec HaiEnergy, mais emploie des opérateurs différents et des tactiques, techniques et procédures (TTP) uniques.


Réponse de l'ambassade de Chine


En réponse à ces allégations, un porte-parole de l'ambassade de Chine à Washington les a qualifiées de partiales et de deux poids deux mesures. Selon eux, qualifier les contenus pro-chinois de "désinformation" n'est pas une bonne chose.
"désinformation" tout en considérant les informations anti-chinoises comme "vraies reflète un préjugé.


Conclusion

 

La révélation de Volt Typhoondans les infrastructures critiques des États-Unis souligne la nature évolutive des menaces de cybersécurité. menaces de cybersécurité auxquelles sont confrontées les nations du monde entier. Pour relever ces défis, les gouvernements, les agences de cybersécurité et les partenaires du secteur privé doivent unir leurs efforts.

En renforçant la collaboration et en investissant dans mécanismes de défense robustesnous pouvons mieux protéger nos systèmes contre les logiciels malveillants et atténuer le risque posé par des acteurs sophistiqués de la menace comme le Volt Typhoon.

Les sources de cet article comprennent des articles dans The Hacker News et de Reuters.

Résumé
Logiciel malveillant Volt Typhoon : Violation de l'infrastructure critique des États-Unis
Nom de l'article
Logiciel malveillant Volt Typhoon : Violation de l'infrastructure critique des États-Unis
Description
Découvrez l'infiltration furtive de Volt Typhoon dans les infrastructures critiques américaines depuis plus de 5 ans et apprenez-en plus sur ses implications.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information