Attaques de Volt Typhoon : Les acteurs soutenus par la Chine concentrent leurs efforts malveillants sur l’infrastructure critique des États-Unis
Table des matières :
Des hackers parrainés par l’État agissant au nom du gouvernement de Pékin ont organisé pendant des années des opérations offensives visant à collecter des renseignements et à lancer des campagnes destructrices contre les États-Unis et des organisations mondiales, avec de multiples attaques observées liées à des groupes tels que Mustang Panda or APT41.
La dernière alerte conjointe des agences de renseignement des États-Unis, du Royaume-Uni, de l’Australie, de la Nouvelle-Zélande et du Canada avertit qu’un autre groupe APT chinois surnommé Volt Typhoon (alias Vanguard Panda, BRONZE SILHOUETTE) a jeté son dévolu sur l’infrastructure critique des États-Unis. Les acteurs parrainés par l’État ont accédé à l’infrastructure critique des États-Unis, maintenant l’accès pendant un demi-décennie et planifiant un ensemble d’opérations destructrices. En particulier, les adversaires ont exploité un ensemble de failles de sécurité affectant les routeurs SOHO, les pare-feux et les VPN pour établir un premier point d’appui dans les réseaux ciblés et poursuivre des activités malveillantes.
Détecter les attaques de Volt Typhoon
La menace croissante posée par les acteurs étatiques s’intensifie continuellement avec de nouvelles tactiques, techniques, et procédures ajoutées à l’arsenal des adversaires. Les professionnels de la cybersécurité devraient garder un œil sur les nouvelles astuces malveillantes pour sécuriser l’infrastructure organisationnelle et détecter les attaques possibles dès les premiers stades de développement. La plateforme SOC Prime offre un ensemble d’outils avancés pour porter vos efforts de chasse aux menaces au niveau supérieur et garder la défense à jour.
Détectez les activités malveillantes liées aux opérations de Volt Typhoon à l’aide d’un ensemble d’algorithmes de détection sélectionnés dans la plateforme SOC Prime. Toutes les détections sont compatibles avec plus de 25 solutions SIEM, EDR, XDR, et Data Lake et sont mappées au cadre MITRE ATT&CK v14 pour aider les professionnels de la sécurité à simplifier l’enquête.
Appuyez sur le bouton Explore Detections ci-dessous pour accéder immédiatement à un lot de contenu de détection visant à identifier les attaques furtives de Volt Typhoon. Pour simplifier la recherche de contenu, SOC Prime prend en charge le filtrage par des tags personnalisés “AA24-038A,” “Volt Typhoon,” “Vanguard Panda,” “BRONZE SILHOUETTE,” “Dev-0391,” “UNC3236,” “Voltzite,” et “Insidious Taurus” sur la base de l’alerte CISA et des identifiants collectifs de piratage.
Analyse des attaques du groupe de hackers Volt Typhoon couvertes dans le conseil en cybersécurité AA24-038A de la CISA
Le 7 février 2024, CISA, NSA, et FBI, en conjonction avec d’autres agences de renseignement internationales, ont émis le conseil AA24-038A avertissant d’une opération de longue durée par l’APT Volt Typhoon. Les adversaires étatiques ont utilisé un botnet composé de routeurs SOHO pour pénétrer les réseaux de multiples organisations au sein des secteurs critiques de la communication, de l’énergie, des transports, et d’autres infrastructures américaines. Selon des experts fédéraux en cybersécurité, Volt Typhon vise principalement des opérations destructrices plutôt que l’espionnage cybernétique, établissant un accès aux réseaux pour se déplacer latéralement dans les environnements et potentiellement perturber les actifs OT. Outre le focus principal sur les États-Unis, les experts supposent que les organisations canadiennes, australiennes et néo-zélandaises pourraient également être affectées.
Notamment, les dernières attaques de Volt Typhoon pourraient être liées au malware KV-botnet attribué aux hackers soutenus par Pékin et révélé en décembre 2023. Ce malware a été utilisé pour détourner les routeurs et les appareils VPN, formant un puissant botnet sous le contrôle des hackers chinois.
Volt Typhoon mène ses opérations offensives dans le domaine des cybermenaces depuis 2021, ciblant principalement l’infrastructure critique de Guam et d’autres parties des États-Unis dans divers secteurs industriels. Les modèles de comportement identifiés révèlent les objectifs de l’attaquant liés à l’activité de cyberespionnage et leur concentration sur le maintien de la discrétion et de la persistance. Pour passer inaperçu, Volt Typhon repose massivement sur des tactiques ‘vivre de la terre’, exploite des comptes valides, et maintient une sécurité opérationnelle renforcée. Grâce à cette approche, les hackers ont réussi à rester inaperçus dans les réseaux ciblés pendant plus de cinq ans dans certains cas, poursuivant furtivement leurs activités malveillantes.
Compte tenu de la sophistication croissante des capacités des adversaires chinois soutenues par le gouvernement du pays au cours de la dernière demi-décennie, il est très probable que la Chine renforce sa position sur le front cybernétique en améliorant sa cyberguerre et en élargissant le champ des attaques. Comptez sur SOC Prime et accédez à plus de 500+ algorithmes de détection sélectionnés contre les attaques APT actuelles et émergentes de toute portée et échelle pour renforcer en permanence votre résilience cybernétique.
