Les Etats-Unis et leurs alliés occidentaux ont accusé le 25 mai un « cyber-acteur » parrainé par la Chine d’avoir discrètement infiltré les « infrastructures critiques » américaines, dont celles de Guam, et ont averti que des campagnes similaires pourraient avoir lieu dans le monde entier.
Dans un avis conjoint, « Five Eyes« , les autorités chargées de la cybersécurité aux Etats-Unis, au Canada, au Royaume-Uni, en Australie et en Nouvelle-Zélande ont mis en garde contre « un groupe d’activités » malveillant associé à « un cyber-acteur parrainé par l’Etat de la République populaire de Chine, également connu sous le nom de Volt Typhoon« .
« Cette activité affecte les réseaux des secteurs d’infrastructures critiques des Etats-Unis » et l’entité qui mène l’attaque « pourrait appliquer les mêmes techniques (…) dans le monde entier », ont indiqué les autorités compétentes de ces pays.
Microsoft charge « Volt Typhoon »
Dans un communiqué séparé, le groupe américain Microsoft a expliqué que « Volt Typhoon » est actif depuis la mi-2021 et qu’il a ciblé, entre autres, des infrastructures essentielles dans l’île de Guam, qui héberge une importante base militaire américaine dans l’océan Pacifique.
Volt Typhoon semble se concentrer sur le vol d’informations auprès « d’organisations qui détiennent des données liées à l’armée ou au gouvernement des États-Unis », selon Marc Burnard, de Secureworks, une filiale de Dell Technologies. Ce dernier a dit avoir vu des pirates informatiques suggérait qu’il était utilisé « principalement à des fins d’espionnage ».
Cette campagne risque de « perturber les infrastructures de communication essentielles entre les Etats-Unis et la région asiatique lors de crises futures », a averti Microsoft. Selon le groupe technologique américain, la campagne vise « les secteurs des communications, de l’industrie, des services publics, des transports, de la construction, de la marine, du gouvernement, des technologies de l’information et de l’éducation ».
Microsoft a indiqué que « le comportement observé suggère que l’auteur de la menace a l’intention de faire de l’espionnage et de conserver l’accès (aux infrastructures) sans être détecté aussi longtemps que possible ».
D’après les agences de sécurité occidentales, ces attaques utilisent notamment la tactique dite « Living off the land » (LotL). L’agresseur utilise les caractéristiques et les outils du système qu’il cible pour pénétrer à l’intérieur sans laisser de traces.
Il peut notamment utiliser des outils d’administration légitimes pour entrer dans le système et y insérer des scripts ou du code malfaisants. Ce type d’intrusion est beaucoup plus efficace que celles utilisant des logiciels malveillants, qui eux sont plus facilement détectables.
Selon Microsoft, Volt Typhoon se fond dans l’activité normale du réseau en acheminant le trafic par l’intermédiaire d’équipements réseau infectés via des petites entreprises et des télétravailleurs, notamment des routeurs, des pare-feu et des réseaux privés virtuels (VPN).
« Ils ont également été observés en train d’utiliser des versions personnalisées d’outils open-source », a déclaré Microsoft.
Washington veut étudier le piratage chinois
Jen Easterly, directrice de l’Agence américaine de cybersécurité et de sécurité des infrastructures, a également lancé une mise en garde contre Volt Typhoon.
« Depuis des années, la Chine mène des opérations dans le monde entier pour voler la propriété intellectuelle et les données sensibles des organisations d’infrastructures critiques », a assuré cette dernière.
« L’avis publié aujourd’hui, en collaboration avec nos partenaires américains et internationaux, montre que la Chine utilise des moyens très sophistiqués pour cibler les infrastructures essentielles de notre pays », a-t-elle poursuivi. Selon elle, cet avis « permettra aux défenseurs des réseaux de mieux comprendre comment détecter et atténuer cette activité malveillante ».
De son côté, le département d’État américain a déclaré qu’il était au courant de l’activité récente d’un cyber-acteur parrainé par la Chine pour développer une présence dans les réseaux à travers les infrastructures critiques américaines.
Le porte-parole du département d’État, Matthew Miller, a déclaré aux journalistes que la communauté du renseignement a estimé que la Chine est presque certainement capable de lancer des cyberattaques qui pourraient perturber les infrastructures critiques aux États-Unis, y compris contre le pétrole et possède des pipelines et des systèmes ferroviaires.
D’ailleurs, la marine américaine a assuré avoir été victime du piratage parrainé par la Chine, le secrétaire à la Marine, Carlos Del Toro, a indiqué sur CNBC que la marine « a été touchée » par les cyberattaques et a déclaré qu’il n’était « pas surprenant que la Chine se comporte de cette manière, non seulement au cours des deux dernières années, mais depuis des décennies ».
La Chine réagit
Suite aux accusation, la Chine a accusé les Etats-Unis et quatre de ses alliés occidentaux de mener une « campagne de désinformation« , via un « mélange peu professionnel avec une chaîne de preuves brisée« , a indiqué la porte-parole du ministère chinois des Affaires étrangères, Mao Ning.
Cette dernière a noté que l’Agence nationale de sécurité des États-Unis (NSA) et les agences de cybersécurité du Royaume-Uni, de l’Australie, du Canada et de la Nouvelle-Zélande ont publié « presque simultanément des rapports similaires« .
Pour elle, « il s’agit d’une campagne collective de fausses informations, lancée par les États-Unis par l’intermédiaire de l’Alliance « Five Eyes (Cinq Yeux), pour servir leur agenda géopolitique« .
« Il est bien connu que l’Alliance des Cinq Yeux (‘Five Eyes’) est la plus grande association de renseignement au monde et que la NSA est le plus grand groupe de piratages informatiques au monde. Il est ironique que l’Alliance des Cinq Yeux et la NSA aient publié conjointement un rapport rempli de fausses informations », a souligné la porte-parole de la diplomatie chinoise.
Concernant le rapport de Microsoft, Mao Ning a indiqué que « l’implication de certaines entreprises dans le rapport que vous avez mentionnées indique que les États-Unis utilisent d’autres canaux que les agences gouvernementales pour diffuser de fausses informations. Ce n’est pas la première fois et certainement pas la dernière ».
La Chine et la Russie ciblent depuis longtemps les infrastructures critiques, mais Volt Typhoon a permis de mieux comprendre le modus operandi du piratage chinois, a estimé John Hultquist, analyste à la société américaine de cybersécurité Mandiant.
« Les acteurs chinois de la cybermenace sont uniques parmi leurs pairs, en ce sens qu’ils n’ont pas régulièrement recours à des cyberattaques destructrices et perturbatrices », a indiqué ce dernier. Selon lui, la divulgation par les pays occidentaux des agissements de Volt Typhoon « est une occasion rare d’enquêter sur cette menace et de s’y préparer ».
