Logo Zéphyrnet

Intelligence de données générative

Cyber sécurité

Les cyberattaquants chinois tentent de perturber les infrastructures critiques américaines

Republié par Platon
Republié par Platon

Date :

Vues: 166

L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié un rapport détaillant comment la menace persistante avancée (APT) Volt Typhoon, soutenue par la Chine, est ciblant systématiquement les infrastructures critiques hautement sensibles, avec de nouvelles informations sur le pivot des cyberattaquants vers les réseaux de technologie opérationnelle (OT) une fois qu'ils s'y sont enfouis.

Étant donné que le réseau OT est responsable des fonctions physiques des systèmes de contrôle industriel (ICS) et des équipements de contrôle de supervision et d'acquisition de données (SCADA), les résultats corroborent clairement le suspicion persistante que les hackers chinois cherchent à perturber les opérations physiques critiques dans le secteur de l'énergie, Services d'eau, les communications et les transports, probablement pour provoquer la panique et la discorde en cas d'incident. Conflagration cinétique entre les États-Unis et la Chine.

« Les acteurs de Volt Typhoon se prépositionnent sur les réseaux informatiques pour permettre un mouvement latéral vers les actifs OT afin de perturber les fonctions », selon Avis Volt Typhoon de la CISA. [Nous] « sommes préoccupés par la possibilité que ces acteurs utilisent leur accès au réseau pour avoir des effets perturbateurs en cas de tensions géopolitiques potentielles et/ou de conflits militaires ».

Il s'agit d'un ensemble important de révélations, selon John Hultquist, analyste en chef chez Mandiant Intelligence/Google Cloud.

«Auparavant, on pouvait déduire du ciblage que l'acteur avait un fort intérêt pour les infrastructures critiques cela avait peu de valeur en matière de renseignement », a-t-il déclaré dans une analyse envoyée par courrier électronique. Mais le rapport de la CISA montre que « Volt Typhoon collecte des informations sur les systèmes OT, et même les pénètre, les systèmes hautement sensibles qui exécutent les processus physiques au cœur des infrastructures critiques », a-t-il ajouté. « Dans de bonnes conditions, Les systèmes OT pourraient être manipulés provoquer des arrêts majeurs de services essentiels, voire créer des conditions dangereuses.

Hultquist a ajouté : « S’il y avait le moindre scepticisme quant à la raison pour laquelle cet acteur commettait ces intrusions, cette révélation devrait le mettre un terme. »

Vivre de la terre et se cacher pendant 5 ans

La CISA a également révélé aujourd'hui que Volt Typhoon (alias Vanguard Panda, Bronze Silhouette, Dev-0391, UNC3236, Voltzite et Insidious Taurus) s'est secrètement caché dans les infrastructures américaines pendant une demi-décennie – même s'ils ont été les premiers à le faire. publiquement dévoilé par Microsoft seulement l'année dernière.

« Contrairement aux opérateurs de ransomware dont l’objectif est d’entrer et de causer des dégâts rapidement, cet opérateur étatique exploite des comptes valides et 'vivre de la terre' [LOTL] techniques pour échapper à la détection pendant de longues périodes », a déclaré Ken Westin, RSSI de terrain chez Panther Lab, dans un commentaire envoyé par courrier électronique. "Ces méthodes permettent au groupe de surveiller leurs cibles et de fournir un point d'appui pour causer des dégâts cinétiques."

Pour démarrer, l’APT « s’appuie également sur des comptes valides et s’appuie sur une forte sécurité opérationnelle, ce qui… permet une persistance non découverte à long terme », a expliqué la CISA. « Les acteurs de Volt Typhoon effectuent une reconnaissance approfondie avant l'exploitation pour en savoir plus sur l'organisation cible et son environnement ; adapter leurs tactiques, techniques et procédures (TTP) à l'environnement de la victime ; et consacrer des ressources continues au maintien de la persistance et à la compréhension de l’environnement cible au fil du temps, même après un compromis initial.

Alors que la stratégie de Volt Typhoon consistant à rester caché en utilisant des utilitaires légitimes et en se fondant dans le trafic normal n'est pas un phénomène nouveau dans la cybercriminalité, il est difficile pour les cibles potentielles de rechercher activement des activités malveillantes, selon CISA, qui a publié des directives LOTL détaillées aujourd'hui pour avoir fait exactement cela.

Pendant ce temps, une mise à jour de l’infrastructure, même si elle peut dans certains cas nécessiter un remplacement de chariot élévateur coûteux et exigeant en main-d’œuvre, ne risque pas non plus de mal tourner.

« De nombreux environnements OT ciblés sont connus pour exécuter des logiciels obsolètes, soit par négligence, soit par nécessité, si les systèmes ne peuvent pas être mis à jour, ce qui augmente le risque posé par cette menace », a déclaré Westin.

De manière inquiétante, la CISA a également noté que le danger s’étend au-delà des États-Unis. Le mois dernier, l'équipe STRIKE de SecurityScorecard a identifié une nouvelle infrastructure liée à Volt Typhoon, indiquant que l'APT ciblait également les actifs des gouvernements australien et britannique. Le rapport de la CISA élargit ce risque pour inclure également le Canada et la Nouvelle-Zélande – toutes les infrastructures de ces partenaires américains sont également sensibles aux acteurs des États-nations, prévient-il.

L'avis de la CISA fait suite à un l'action du gouvernement pour perturber le botnet de routeur pour petits bureaux/bureaux à domicile (SOHO) du groupe, qu'il utilisait pour débarrassez-vous de ceux qui suivent son activité.

spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.