Volt Typhoon cible des infrastructures américaines critiques avec des techniques « Living off the Land »

Cette attaque a été menée par Volt Typhoon, un acteur basé en Chine et soutenu par cet État, qui se consacre généralement à l’espionnage et à la collecte d’informations. Avec un degré de confiance modéré, Microsoft estime que cette campagne de Volt Typhoon poursuit le développement de capacités susceptibles de perturber les infrastructures de communication essentielles entre les États-Unis et la région asiatique en cas de crise à venir.

Le groupe Volt Typhoon est actif depuis le milieu de l’année 2021 et a ciblé des infrastructures critiques à Guam et ailleurs aux États-Unis. Cette campagne a ciblé spécifiquement des organismes relevant des secteurs des communications, de l’industrie, des services publics, des transports, de la construction, de la marine, des administrations publiques, des technologies de l’information et de l’éducation. Le comportement observé suggère que l’acteur de la menace a l’intention de se livrer à des activités d’espionnage ainsi que de conserver un accès sans être détecté aussi longtemps que possible.

Pour atteindre son objectif, l’acteur de la menace a fortement axé sa campagne sur la furtivité, en s’appuyant presque exclusivement sur des techniques «Living of the Land» et des activités de type « hands on keyboard ». Ils se servent de la ligne de commande pour (1) collecter des données, y compris des informations d’identification à partir de systèmes locaux et de réseaux, (2) placer les données dans un fichier d’archive pour les exfiltrer, puis (3) utiliser les informations d’identification valides volées pour maintenir la persistance des données. En plus de cela, Volt Typhoon tente de se fondre dans l’activité normale du réseau en acheminant le trafic par le biais d’équipements de réseau SOHO (Small Office and Home Office) compromis, notamment des routeurs, des pare-feu et des équipement VPN. Ils ont également été observés en train d’utiliser des versions personnalisées d’outils open-source pour établir un canal de commande et de contrôle (C2) par l’intermédiaire d’un proxy afin de rester encore plus discrets.

Dans ce billet de blog, nous partageons des informations sur Volt Typhoon, sa campagne visant les fournisseurs d’infrastructures critiques et ses tactiques pour obtenir et maintenir un accès non autorisé aux réseaux cibles. Étant donné que cette activité repose sur des comptes valides et des binaires « Living off the Land » (LOLBins), la détection et l’atténuation de cette attaque pourraient s’avérer difficiles. Les comptes compromis doivent être fermés ou modifiés. À la fin de ce billet de blog, nous partageons d’autres mesures d’atténuation et meilleures pratiques, ainsi que des informations sur la manière dont Microsoft 365 Defender détecte les activités malveillantes et suspectes afin de protéger les organisations contre de telles attaques furtives. La National Security Agency (NSA) a également publié un avis de cybersécurité [PDF] qui contient un guide de repérage en lien avec les tactiques, techniques et procédures (TTP) évoquées dans ce blog. Pour plus d’informations, consultez le billet de blog complet .

Comme à chaque fois qu’une activité d’un acteur étatique est observée, Microsoft a directement notifié les clients ciblés ou compromis, en leur fournissant des informations importantes pour sécuriser leurs environnements. Pour en savoir plus sur l’approche de Microsoft en matière de suivi des acteurs de la menace, lisez Microsoft adopte une nouvelle taxonomie pour désigner les acteurs de la menace