• Votre panier est vide.

  • LOGIN

Les pirates informatiques furtifs chinois infiltrent les infrastructures critiques des États-Unis et de Guam sans être détectés


Certains articles de veille peuvent faire l'objet de traduction automatique.


25 mai 2023Ravie LakshmananCybermenace/espionnage

Un groupe furtif basé en Chine a réussi à s’implanter de manière persistante dans des organisations d’infrastructures critiques aux États-Unis et à Guam sans être détecté, Microsoft et les nations des « Cinq Yeux » dit mercredi.

L’équipe de renseignement sur les menaces du géant de la technologie suit l’activité, qui comprend l’accès aux informations d’identification après compromission et la découverte du système réseau, sous le nom Volt Typhon.

L’acteur parrainé par l’État est adapté vers l’espionnage et la collecte d’informations, le cluster étant actif depuis juin 2021 et masquant son empreinte d’intrusion en tirant parti des outils déjà installés ou intégrés aux machines infectées.

Certains des principaux secteurs ciblés comprennent les communications, la fabrication, les services publics, les transports, la construction, la marine, le gouvernement, les technologies de l’information et l’éducation.

La société a en outre évalué avec une confiance modérée que la campagne « poursuivait le développement de capacités susceptibles de perturber les infrastructures de communication critiques entre les États-Unis et la région asiatique lors de crises futures ».

UN caractéristique déterminante des attaques est le « fort accent » mis sur le fait de rester sous le radar en s’appuyant exclusivement sur des techniques de vie hors de la terre (LotL) pour exfiltrer les données des applications de navigateur Web locales et exploiter les informations d’identification volées pour un accès par porte dérobée.

L’objectif principal est d’éviter la détection en s’harmonisant avec les activités régulières du système et du réseau Windows, indiquant que l’auteur de la menace garde délibérément un profil bas pour accéder à des informations sensibles.

« De plus, Volt Typhoon essaie de se fondre dans l’activité normale du réseau en acheminant le trafic via des équipements réseau compromis pour les petits bureaux et les bureaux à domicile (SOHO), y compris les routeurs, les pare-feu et le matériel VPN », a déclaré Microsoft.

Un autre métier inhabituel est l’utilisation de versions personnalisées d’outils open source pour établir un canal de commande et de contrôle (C2) sur proxy ainsi que sur les serveurs compromis d’autres organisations dans son réseau proxy C2 pour masquer la source des attaques.

Dans un incident signalé par le New York Times, le collectif contradictoire a piraté les réseaux de télécommunications sur l’île de Guam, un avant-poste militaire américain sensible dans l’océan Pacifique, et a installé un shell Web malveillant.

Le vecteur d’entrée initial consiste à exploiter les appareils Fortinet FortiGuard accessibles sur Internet au moyen d’une faille zero-day inconnue, bien que Volt Typhoon ait également été observé des failles de militarisation dans les serveurs Zoho ManageEngine. L’accès est ensuite abusé pour voler les informations d’identification et s’introduire dans d’autres appareils du réseau.

WEBINAIRE À VENIR

Zero Trust + Deception : apprenez à déjouer les attaquants !

Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !

Sauvez ma place !

Les fabricants de Windows ont également noté qu’il notifiait directement les clients ciblés ou compromis et leur fournissait les informations nécessaires pour sécuriser leurs environnements.

Il a cependant averti qu’il pourrait être « particulièrement difficile » d’atténuer ces risques lorsque les acteurs de la menace utilisent des comptes valides et des binaires vivant hors de la terre (LOLBins) pour mener à bien leurs attaques.

Secureworks, qui surveille le groupe de menaces sous le nom Silhouette en bronzea déclaré avoir « fait preuve d’une attention particulière à la sécurité opérationnelle […] et le recours à une infrastructure compromise pour empêcher la détection et l’attribution de son activité d’intrusion. »

Le développement intervient également alors que Reuters divulgué que des pirates informatiques chinois ont ciblé le gouvernement kenyan dans une série d’attaques de grande envergure de trois ans contre des ministères clés et des institutions étatiques dans une prétendue tentative d’obtenir des informations sur la « dette due à Pékin par la nation d’Afrique de l’Est ».

L’offensive numérique est soupçonnée d’avoir été menée par BackdoorDiplomacy (alias APT15, Playful Taurus ou Vixen Panda), qui est connu pour cibler des entités gouvernementales et diplomatiques en Amérique du Nord, en Amérique du Sud, en Afrique et au Moyen-Orient au moins depuis 2010. .

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.

Voir aussi :

mai 25, 2023

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)