Un rapport conjoint publié en février 2024 par l’Agence de Sécurité des Infrastructures et de Cybersécurité (CISA) a alerté sur la menace cybernétique que représente le groupe Volt Typhoon, également connu sous le nom de Bronze Silhouette. Cet acteur malveillant, lié au gouvernement chinois, est actif depuis au moins 2021, concentrant ses efforts sur la collecte d’informations confidentielles et l’espionnage des infrastructures critiques aux États-Unis, y compris Guam.

L’attaque s’est concentrée sur l’infiltration de réseaux informatiques pour placer des malwares capables de causer des dommages ou de perturber les opérations critiques en cas de conflit entre les États-Unis et la Chine. Volt Typhoon a été méticuleux dans son approche, utilisant des techniques avancées telles que le « living off the land » (LOTL), le vol d’identifiants et des activités manuelles pour rester furtif.

Infrastructures critiques à risque

La liste des infrastructures critiques est vaste et couvre des secteurs tels que les communications, l’énergie, le transport, la fabrication, parmi d’autres. La description complète inclut 16 secteurs, parmi lesquels :

• Énergie : Infrastructures d’électricité, de gaz et de pétrole.
• Communications : Réseaux soutenant les opérations commerciales, gouvernementales et de sécurité publique.
• Services d’urgence : Réponse aux incidents au niveau local, étatique et fédéral.
• Fabrication : Production de composants clés pour l’industrie.

Tactiques du groupe Volt Typhoon

Volt Typhoon a déjà attaqué plusieurs organisations d’infrastructures critiques, spécifiquement dans les secteurs des communications, de l’énergie, des systèmes de transport et du traitement de l’eau. Les attaques montrent une orientation claire vers l’infiltration et la persistance sur les réseaux informatiques pour mener à bien des activités perturbatrices à l’avenir.

Le groupe a démontré être extrêmement patient, adaptant ses techniques selon l’environnement cible. Parmi ses méthodes, on trouve :

• Vol d’identifiants : Utilisation de malwares pour obtenir des mots de passe puis se déplacer latéralement vers le contrôleur de domaine.
• Mouvements cachés : Ils utilisent des programmes légitimes et PowerShell pour éviter la détection.
• Collecte méticuleuse de données : Ils analysent les réseaux avant l’attaque pour comprendre leur architecture.

Recommandations de mitigation

Les agences de sécurité américaines ont recommandé de mettre en œuvre une série de mesures pour identifier et bloquer des attaques similaires. Il est essentiel que les organisations effectuent des évaluations proactives des menaces qui pourraient se cacher dans leurs réseaux.

Importance du renseignement sur les menaces

Le renseignement sur les menaces est essentiel pour comprendre les acteurs malveillants, leurs méthodes et motivations. Infoblox fournit des outils avancés qui permettent d’identifier des infrastructures malveillantes avant que les acteurs ne les utilisent. À l’aide d’algorithmes sophistiqués, les domaines suspects sont corrélés avec des sources de données pour offrir une vision complète du paysage des menaces.

Les organisations peuvent utiliser ces informations pour développer des politiques de sécurité plus unifiées, bloquer proactivement les domaines et renforcer leur stratégie de défense. L’une des solutions les plus efficaces est Infoblox DNS (système de noms de domaine) Detection and Response (DNSDR), qui aide à identifier les menaces de manière précoce pour prévenir les dommages.

La menace de Volt Typhoon est un rappel puissant que les infrastructures critiques sont la cible d’acteurs étatiques bien financés et hautement compétents. La mise en œuvre de mesures proactives et d’un renseignement sur les menaces efficace sont vitaux pour contrer ces menaces et assurer la continuité des opérations.

Source : infoblox