Barracuda full logo

La future guerre de Volt Typhoon

Thèmes:
14 mars 2024
|
Christine Barry

Il existe de nombreux acteurs malveillants dangereux, mais Volt Typhoon pourrait être le plus dangereux pour notre sécurité physique et notre bien-être. Nous savons déjà que les cyberattaques ont un impact au-delà du domaine numérique. Colonial Pipeline et JBS Foods ont subi des attaques par ransomware qui ont perturbé des chaînes d'approvisionnement critiques aux États-Unis. Les acteurs malveillants ont déjà interféré avec l'économie et les infrastructures essentielles des États-Unis. La plupart de ces cybercrimes sont motivés par le gain financier. Lockbit et ALPHV ont tous deux affirmé être apolitiques et ne s'intéresser qu'à l'argent.

D'autres acteurs malveillants se livrent au cyberespionnage et à la cyberguerre. Le cyberespionnage traditionnel fait référence à des attaques qui donnent aux acteurs malveillants un avantage concurrentiel sur une autre entreprise ou entité gouvernementale. Un exemple de cyberespionnage est la série d'attaques contre des universités qui mènent des activités de recherche et développement à des fins militaires. L'espionnage implique généralement le travail de menaces persistantes avancées (APT) qui restent dans le système et collectent des informations ou effectuent des activités destructrices aussi longtemps que possible. En revanche, la cyberguerre est susceptible d'être une attaque rapide visant à perturber les activités et à semer le chaos à des fins stratégiques. L'attaque russe de 2017 contre des cibles ukrainiennes (WannaCry, NotPetya) était un acte de cyberguerre.

Nous connaissons tous les cyberattaques, le cyberespionnage et la cyberguerre. Alors, quel est le problème avec Volt Typhoon ?

Qu'est-ce que Volt Typhoon ?

Volt Typhoon est également connu sous les noms de Vanguard Panda, BRONZE SILHOUETTE, Dev-0391, UNC3236, Voltzite et Insidious Taurus. Ce groupe est un acteur de menace persistante avancée (APT) soutenue par la République populaire de Chine (RPC). Volt Typhoon mène cependant des activités de cyberespionnage traditionnelles contre des cibles américaines depuis le milieu de l'année 2021. Les autorités américaines ont découvert depuis que Volt Typhoon « maintenait un accès et des points d'ancrage dans les environnements informatiques de certaines victimes depuis au moins cinq ans ». Ces organisations victimes opèrent principalement dans les secteurs des communications, de l'énergie, des transports, de l'eau et des eaux usées aux États-Unis. Cibler des secteurs critiques n'a rien de nouveau, mais les cibles de Volt Typhoon font allusion à un autre type d'attaque. De Reuters :

 

« Nous sommes extrêmement préoccupés par les cyberactivités malveillantes de l'acteur parrainé par l'État de la RPC que l'industrie appelle Volt Typhoon », a déclaré à Reuters un haut responsable de la CISA, Eric Goldstein, faisant référence à la République populaire de Chine, avant la publication du communiqué. « La plupart des victimes que nous avons identifiées n'ont aucune raison légitime de faire de l'espionnage. »

 

Cela nous amène à l'avis sur la cybersécurité publié en février, alertant les entités américaines et le public sur ce que l'on appelle le « prépositionnement ».

Cyber-espionnage traditionnel vs pré-positionnement.

Les attaques de pré-positionnement sont des tentatives d'infiltration de systèmes critiques en vue d'un éventuel sabotage futur. Cela diffère du cyberespionnage traditionnel motivé par le vol immédiat de données ou la collecte de renseignements. Lorsque Volt Typhoon compromet un système, un acteur humain malveillant commence à intervenir sur le clavier et utilise des techniques de survie pour se déplacer latéralement dans le réseau, éviter d'être détecté et établir une menace cachée et dormante à long terme. Le groupe utilise rarement des malwares dans ses attaques. L'activité pratique et l'absence de logiciels malveillants témoignent d'un niveau élevé d'engagement et de sophistication de la part de Volt Typhoon.

Le pré-positionnement représente un changement stratégique de la part d'un acteur malveillant de la RPC pour se préparer à de futures tensions ou conflits militaires. Bien que les autorités américaines disposent désormais de preuves d'une activité de prépositionnement à long terme, cette étude du Center for Strategic and International Studies (CSIS) sur l'espionnage chinois ne fait aucune mention du prépositionnement dans quelque attaque que ce soit. L'étude du CSIS a porté sur les attaques contre des entités américaines au cours des années 2000 à 2023. Voici une répartition démographique partielle de ces données :

  • 49 % des incidents impliquaient directement des militaires ou des employés du gouvernement chinois.
  • 46 % des incidents impliquaient du cyberespionnage, généralement par des acteurs affiliés à l'État.
  • 29 % des incidents visaient à acquérir de la technologie militaire.
  • 54 % des incidents visaient à acquérir des technologies commerciales.
  • 17 % des incidents visaient à obtenir des informations sur des agences civiles ou des politiciens américains.

Cette étude n'a analysé que les attaques connues du public. Les attaques non signalées et les informations classifiées en sont exclues.

La capacité des acteurs parrainés par l'État à s'intégrer dans des systèmes essentiels constitue une menace physique directe pour la population des États-Unis et d'autres pays ciblés. Une perturbation des systèmes critiques aux États-Unis pourrait forcer une réponse fédérale qui consommerait une part importante des ressources américaines. Cela pourrait alors réduire la capacité des États-Unis à aider les alliés étrangers. En juin 2022, la RPC a nié toute implication dans le cyberespionnage :

Un porte-parole de l'ambassade de Chine à Washington, Liu Pengyu, a rejeté les allégations des dirigeants occidentaux, affirmant dans une déclaration envoyée par e-mail à l'Associated Press que la Chine « s'oppose fermement à toutes les formes de cyberattaques et les combat », qualifiant ces accusations d'infondées.

« Nous n'encouragerons, ne soutiendrons ni ne tolérerons jamais les cyberattaques », précise le communiqué.

Les États-Unis ne sont pas la seule cible de Volt Typhoon et d'autres acteurs malveillants de la RPC. Volt Typhoon a frappé des infrastructures essentielles et des secteurs économiques en Australie, au Canada et au Royaume-Uni. Elle a également mené des attaques de reconnaissance de grande envergure contre des organisations de transmission et de distribution d'électricité dans des pays africains. L'intention de ces attaques en Afrique est inconnue, bien que les experts pensent que les acteurs malveillants recherchaient des données provenant de systèmes d'information géographique (SIG), qui aideraient Volt Typhoon à infiltrer des clusters de systèmes de contrôle industriels (ICS) et d'autres appareils de l'Internet des objets (IoT). Il y a peut-être aussi un lien avec l'initiative chinoise Digital Silk Road, qui vise à fournir une assistance en matière d'infrastructures et d'autres formes d'aide aux pays bénéficiaires. La République populaire de Chine a des intérêts stratégiques dans le monde entier.

 

Les investissements stratégiques chinois au 21e siècle

 

La Chine nie régulièrement toute implication dans le piratage informatique parrainé par l'État et a promis aux États-Unis de ne pas interférer avec les élections de 2024. Malgré ces dénégations, les autorités du monde entier ont rassemblé des dizaines d'années de preuves du cyberespionnage soutenu par la RPC. Christopher Wray, directeur du Federal Bureau of Investigation (FBI), estime que « les cyber-agents chinois sont au moins 50 fois plus nombreux que les agents du FBI ».

Botnet KV

Volt Typhoon utilise le Botnet KV, un réseau secret, pour dissimuler le trafic malveillant en le mélangeant au trafic Internet normal. Le botnet utilise des routeurs et des appareils VPN qui sont « en fin de vie » et qui ne reçoivent plus de mises à jour de sécurité de la part du fabricant. Le ministère américain de la justice (DoJ) a récemment annoncé que le botnet avait été perturbé, mais Volt Typhoon tente de le reconstituer.

Volt Typhoon déplace son trafic à travers deux clusters de botnets KV distincts connus sous le nom de KV et JDY. Ce tableau présente les objectifs de ces groupes et les principales différences entre eux :

 

Aspect

Cluster KV

Cluster JDY

Objectif principal

Opérations manuelles par procuration contre des cibles de premier plan

Activités de numérisation et de reconnaissance

Complexité du travail

Des efforts sophistiqués et ciblés

Tâches automatisées moins sophistiquées

Type de dispositifs infectés

Routeurs pour petits bureaux et bureaux à domicile et certaines caméras IP

Routeurs Cisco RV320 et RV325

Utilisation de nœuds infectés

Utilisation efficace pour les opérations manuelles secrètes

Efficace pour l'analyse et la reconnaissance automatisées

Gestion des risques

Réduction du risque de détection pour les opérations manuelles. Les activités à haut risque du JDY ne mettent pas en danger les activités du cluster KV.

Risque plus élevé de détection en raison d'activités automatisées à grande échelle

La description technique du réseau KV Botnet est disponible ici.

Conclusion

Volt Typhoon est un acteur malveillant sophistiqué parrainé par l'État qui trouvera son chemin dans n'importe quelle ouverture de n'importe quel système. Il a les compétences et les ressources nécessaires pour attaquer toute faiblesse qu'il trouve. Une bonne défense contre eux est de s'assurer qu'ils ne trouvent aucun point faible. Jen Easterly, directrice de l'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA), a récemment déclaré que les États-Unis avaient facilité les attaques des acteurs malveillants de la RPC. « La vérité, c'est que, dans de nombreux cas, la RPC profite des défauts connus du produit. » Le botnet KV est l'exemple parfait de la manière dont les acteurs malveillants tirent parti des risques de sécurité négligés.

La protection de vos systèmes contre les acteurs malveillants sophistiqués tels que Volt Typhoon nécessite une approche multicouche de la cybersécurité qui défend l'ensemble du système, y compris les travailleurs à distance et les appareils périphériques :

1. Contrôles d'accès et mesures d'authentification solides : appliquez des politiques qui exigent une authentification multifactorielle (MFA) et une bonne politique des mots de passe. Utilisez le principe du moindre privilège pour vous assurer que les utilisateurs ne disposent que des droits d'accès dont ils ont besoin pour effectuer leur travail.  

2. Mises à jour régulières des logiciels et des systèmes : mettez régulièrement à jour tous les logiciels, systèmes d'exploitation et firmwares à l'aide d'outils de gestion automatique des correctifs lorsque cela est possible. Effectuez des analyses régulières afin d'identifier les vulnérabilités de l'environnement.

3. Mesures de sécurité avancées : déployer des solutions de cybersécurité qui protègent vos e-mails, votre réseau, vos applications et vos données. Barracuda Email Protection et Barracuda SecureEdge défendent vos systèmes, sauvegardent vos données Microsoft 365 et proposent des formations de sensibilisation à la sécurité pour aider les employés à repérer les attaques par hameçonnage et autres scams.  

Une surveillance continue, des mises à jour régulières de vos protocoles de sécurité et le fait de rester informé des dernières menaces sont essentiels pour maintenir une sécurité solide.

 

La plateforme de cybersécurité Barracuda

Seul Barracuda offre une protection polyvalente qui couvre les principaux vecteurs de menace, protège vos données et automatise les réponses aux incidents. Plus de 200 000 clients dans le monde comptent sur Barracuda pour protéger leurs e-mails, leurs réseaux, leurs applications et leurs données.

 

EXPLOREZ LA PLATEFORME

 

 

Christine Barry

Christine Barry est Senior Chief Blogger et Social Media Manager chez Barracuda.  Avant de rejoindre Barracuda, Christine a été ingénieure de terrain et chef de projet dans l'éducation et auprès de PME pendant plus de 15 ans. Elle est titulaire de plusieurs diplômes en technologie et en gestion de projet, d'un "Bachelor of Arts" et d'un "Master of Business Administration".Elle est diplômée de l'université du Michigan.

Connectez-vous avec Christine sur LinkedIn.

Billets associés :
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
 Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.