Un groupe furtif basé en Chine a réussi à s’implanter de manière persistante dans des organisations d’infrastructures critiques aux États-Unis et à Guam sans être détecté, Microsoft et les nations des « Cinq Yeux » dit mercredi.
L’équipe de renseignement sur les menaces du géant de la technologie suit l’activité, qui comprend l’accès aux informations d’identification après compromission et la découverte du système réseau, sous le nom Volt Typhon.
L’acteur parrainé par l’État est adapté vers l’espionnage et la collecte d’informations, le cluster étant actif depuis juin 2021 et masquant son empreinte d’intrusion en tirant parti des outils déjà installés ou intégrés aux machines infectées.
Certains des principaux secteurs ciblés comprennent les communications, la fabrication, les services publics, les transports, la construction, la marine, le gouvernement, les technologies de l’information et l’éducation.
La société a en outre évalué avec une confiance modérée que la campagne « poursuivait le développement de capacités susceptibles de perturber les infrastructures de communication critiques entre les États-Unis et la région asiatique lors de crises futures ».
UN caractéristique déterminante des attaques est le « fort accent » mis sur le fait de rester sous le radar en s’appuyant exclusivement sur des techniques de vie hors de la terre (LotL) pour exfiltrer les données des applications de navigateur Web locales et exploiter les informations d’identification volées pour un accès par porte dérobée.
L’objectif principal est d’éviter la détection en s’harmonisant avec les activités régulières du système et du réseau Windows, indiquant que l’auteur de la menace garde délibérément un profil bas pour accéder à des informations sensibles.
« De plus, Volt Typhoon essaie de se fondre dans l’activité normale du réseau en acheminant le trafic via des équipements réseau compromis pour les petits bureaux et les bureaux à domicile (SOHO), y compris les routeurs, les pare-feu et le matériel VPN », a déclaré Microsoft.
Un autre métier inhabituel est l’utilisation de versions personnalisées d’outils open source pour établir un canal de commande et de contrôle (C2) sur proxy ainsi que sur les serveurs compromis d’autres organisations dans son réseau proxy C2 pour masquer la source des attaques.
Dans un incident signalé par le New York Times, le collectif contradictoire a piraté les réseaux de télécommunications sur l’île de Guam, un avant-poste militaire américain sensible dans l’océan Pacifique, et a installé un shell Web malveillant.
Le vecteur d’entrée initial consiste à exploiter les appareils Fortinet FortiGuard accessibles sur Internet au moyen d’une faille zero-day inconnue, bien que Volt Typhoon ait également été observé des failles de militarisation dans les serveurs Zoho ManageEngine. L’accès est ensuite abusé pour voler les informations d’identification et s’introduire dans d’autres appareils du réseau.
Zero Trust + Deception : apprenez à déjouer les attaquants !
Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !
Les fabricants de Windows ont également noté qu’il notifiait directement les clients ciblés ou compromis et leur fournissait les informations nécessaires pour sécuriser leurs environnements.
Il a cependant averti qu’il pourrait être « particulièrement difficile » d’atténuer ces risques lorsque les acteurs de la menace utilisent des comptes valides et des binaires vivant hors de la terre (LOLBins) pour mener à bien leurs attaques.
Secureworks, qui surveille le groupe de menaces sous le nom Silhouette en bronzea déclaré avoir « fait preuve d’une attention particulière à la sécurité opérationnelle […] et le recours à une infrastructure compromise pour empêcher la détection et l’attribution de son activité d’intrusion. »
Le développement intervient également alors que Reuters divulgué que des pirates informatiques chinois ont ciblé le gouvernement kenyan dans une série d’attaques de grande envergure de trois ans contre des ministères clés et des institutions étatiques dans une prétendue tentative d’obtenir des informations sur la « dette due à Pékin par la nation d’Afrique de l’Est ».
L’offensive numérique est soupçonnée d’avoir été menée par BackdoorDiplomacy (alias APT15, Playful Taurus ou Vixen Panda), qui est connu pour cibler des entités gouvernementales et diplomatiques en Amérique du Nord, en Amérique du Sud, en Afrique et au Moyen-Orient au moins depuis 2010. .
