China Hacks US Critical Networks in Guam, Raising Cyberwar Fears

En tant que pirates informatiques parrainés par l’État travaillant pour le compte de la Russie, de l’Iran et de la Corée du Nord ont pendant des années fait des ravages avec des cyberattaques perturbatrices à travers le monde, les pirates de l’armée et du renseignement chinois ont largement conservé la réputation de limiter leurs intrusions à l’espionnage. Mais lorsque ces cyberespions pénètrent dans une infrastructure critique aux États-Unis, et plus particulièrement sur un territoire américain aux portes de la Chine, l’espionnage, la planification d’urgence des conflits et l’escalade de la cyberguerre commencent à se ressembler dangereusement.

Mercredi, Microsoft révélé dans un article de blog qu’il a suivi un groupe de ce qu’il croit être des pirates informatiques parrainés par l’État chinois qui ont mené depuis 2021 une vaste campagne de piratage qui a ciblé des systèmes d’infrastructure critiques dans les États américains et à Guam, y compris les communications, la fabrication, les services publics, la construction et le transport .

Les intentions du groupe, que Microsoft a nommé Volt Typhoon, peuvent simplement être de l’espionnage, étant donné qu’il ne semble pas avoir utilisé son accès à ces réseaux critiques pour effectuer la destruction de données ou d’autres attaques offensives. Mais Microsoft prévient que la nature du ciblage du groupe, y compris dans un territoire du Pacifique qui pourrait jouer un rôle clé dans un conflit militaire ou diplomatique avec la Chine, pourrait encore permettre ce type de perturbation.

“Le comportement observé suggère que l’acteur de la menace a l’intention de faire de l’espionnage et de maintenir l’accès sans être détecté aussi longtemps que possible”, lit-on sur le blog de la société. Mais il associe cette déclaration à une évaluation avec une “confiance modérée” que les pirates “poursuivent le développement de capacités qui pourraient perturber les infrastructures de communication critiques entre les États-Unis et la région asiatique lors de futures crises”.

La société de cybersécurité Mandiant, propriété de Google, affirme qu’elle a également suivi une partie des intrusions du groupe et lance un avertissement similaire concernant l’accent mis par le groupe sur les infrastructures critiques. “Il n’y a pas de lien clair avec la propriété intellectuelle ou les informations sur les politiques que nous attendons d’une opération d’espionnage”. déclare John Hultquist, responsable du renseignement sur les menaces chez Mandiant. “Cela nous amène à nous demander s’ils sont là parce que les cibles sont critiques. Notre préoccupation est que l’accent mis sur l’infrastructure critique est la préparation d’attaques perturbatrices ou destructrices potentielles.

Le billet de blog de Microsoft offrait des détails techniques sur les intrusions des pirates qui pourraient aider les défenseurs du réseau à les repérer et à les expulser : le groupe, par exemple, utilise des routeurs piratés, des pare-feu et d’autres dispositifs de « périphérie » du réseau comme mandataires pour lancer son piratage, ciblant les dispositifs qui incluent ceux vendus par les fabricants de matériel ASUS, Cisco, D-Link, Netgear et Zyxel. Le groupe exploite également souvent l’accès fourni à partir de comptes compromis d’utilisateurs légitimes plutôt que ses propres logiciels malveillants pour rendre son activité plus difficile à détecter en semblant bénigne.

Se fondre dans le trafic réseau régulier d’une cible pour tenter d’échapper à la détection est une caractéristique de l’approche de Volt Typhoon et d’autres acteurs chinois ces dernières années, déclare Marc Burnard, consultant senior en recherche sur la sécurité de l’information chez Secureworks. Comme Microsoft et Mandiant, Secureworks a suivi le groupe et observé les campagnes. Il a ajouté que le groupe a fait preuve d’une « concentration sans relâche sur l’adaptation » pour poursuivre son espionnage.