Des pirates soutenus par la Chine cachés dans les infrastructures critiques américaines depuis « au moins cinq ans »

Des pirates soutenus par la Chine ont eu accès aux infrastructures critiques américaines pendant « au moins cinq ans », avec pour objectif à long terme de lancer des cyberattaques « destructrices ». Les agences qualifient cela de « changement stratégique » dans le piratage ou la collecte de renseignements parrainés par la Chine, alors qu’ils se préparent à perturber les technologies de combat en cas de conflit majeur ou de crise.

Le Volt Typhoon a exploité des vulnérabilités dans les routeurs, les pare-feu et les VPN pour obtenir un accès initial aux infrastructures critiques à travers le pays et, dans certains cas, la capacité d’accéder aux systèmes de surveillance par caméra des infrastructures critiques. Selon un rapport publié par Microsoft en mai 2023, Typhoon Volt cible et endommage les infrastructures critiques aux États-Unis depuis au moins la mi-2021.

Dangers potentiels Une coalition d’agences de renseignement américaines a déclaré le 7 février que des pirates soutenus par la Chine avaient accès aux infrastructures critiques américaines pendant « au moins cinq ans » dans le but à long terme de lancer des cyberattaques « dévastatrices ».

La NSA, la CISA et le FBI ont déclaré dans un rapport conjoint publié mercredi que le Volta Typhoon est un groupe de piratage financé par le gouvernement chinois qui s’introduit dans les réseaux des organisations de l’aviation, du rail, des transports publics, des autoroutes, du transport maritime, des preuves publiées, des eaux et des égouts (dont aucune n’a été nommée), dans le but de préparer une cyberattaque dévastatrice.

Les agences soulignent un « changement stratégique » par rapport à l’espionnage cybernétique traditionnel ou la collecte de renseignements par les pirates soutenus par la Chine, qui se préparent plutôt à perturber les techniques de combat en cas de conflit majeur ou de crise. À lire aussi: Le FBI alerte sur la menace croissante des doubles attaques de ransomware. Le rapport, cosigné par les agences de cybersécurité du Royaume-Uni, d’Australie, du Canada et de Nouvelle-Zélande, survient une semaine après que le directeur du FBI Christopher Wray a émis un avertissement similaire.

Christopher Wray, s’exprimant lors d’une audition de la commission de la Chambre des représentants des États-Unis sur la menace cybernétique posée par la Chine, a qualifié Typhoon Volta de « menace déterminante pour notre génération » et a déclaré que l’objectif du groupe était de « perturber la capacité de mobilisation de notre armée » dans les premières étapes d’un conflit attendu autour de Taïwan. Crise pendant cinq ans Selon un avis technique publié mercredi, le Volta Typhoon exploite les vulnérabilités des routeurs, des pare-feu et des VPN pour obtenir un accès initial aux infrastructures critiques à travers le pays.

Par exemple, « manipuler les systèmes de chauffage, ventilation et climatisation (CVC) dans les salles de serveurs, ou perturber les contrôles critiques de l’énergie et de l’eau, entraînant des défaillances majeures des infrastructures ». Dans certains cas, les pirates de Voltaic ont pu accéder aux systèmes de surveillance par caméra des infrastructures critiques, bien qu’on ne sache pas clairement s’ils l’ont fait.

Le Voltaic Typhoon utilise également des techniques de « survie hors sol », dans lesquelles un attaquant utilise des outils et fonctionnalités légitimes déjà présents dans un système cible pour maintenir une persistance à long terme et non détectée. Les pirates ont également mené une « reconnaissance pré-intrusion étendue » pour éviter d’être détectés. « Par exemple, dans certains cas, les entités au Voltaic Typhoon peuvent abandonner l’utilisation d’identifiants compromis en dehors des heures normales de travail pour éviter de déclencher une alerte de sécurité en cas d’activité inhabituelle sur un compte », indique le bulletin.

Le Volt Typhoon « n’est pas le seul acteur cybernétique soutenu par l’État chinois engagé dans ce type d’activité ». La semaine dernière, le FBI et le ministère américain de la Justice ont annoncé avoir démantelé le botnet KV géré par le Volt Typhoon, qui avait compromis des routeurs dans des centaines de petites entreprises et de bureaux à domicile aux États-Unis. Le FBI a déclaré avoir réussi à supprimer les logiciels malveillants des routeurs détournés et à les couper des pirates soutenus par le gouvernement chinois.