Trace Id is missing

Volt Typhoon cible des infrastructures américaines critiques avec des techniques « Living off the Land »

Un groupe de personnes marche à l’extérieur d’un bâtiment

Microsoft a mis au jour une activité malveillante furtive et ciblée, axée sur l’accès aux informations d’identification post-compromission et la découverte de systèmes de réseau, qui vise des organismes chargés de l’infrastructure critique des États-Unis.

Cette attaque a été menée par Volt Typhoon, un acteur basé en Chine et soutenu par cet État, qui se consacre généralement à l’espionnage et à la collecte d’informations. Avec un degré de confiance modéré, Microsoft estime que cette campagne de Volt Typhoon poursuit le développement de capacités susceptibles de perturber les infrastructures de communication essentielles entre les États-Unis et la région asiatique en cas de crise à venir.

Le groupe Volt Typhoon est actif depuis le milieu de l’année 2021 et a ciblé des infrastructures critiques à Guam et ailleurs aux États-Unis. Cette campagne a ciblé spécifiquement des organismes relevant des secteurs des communications, de l’industrie, des services publics, des transports, de la construction, de la marine, des administrations publiques, des technologies de l’information et de l’éducation. Le comportement observé suggère que l’acteur de la menace a l’intention de se livrer à des activités d’espionnage ainsi que de conserver un accès sans être détecté aussi longtemps que possible.

Pour atteindre son objectif, l’acteur de la menace a fortement axé sa campagne sur la furtivité, en s’appuyant presque exclusivement sur des techniques «Living of the Land» et des activités de type « hands on keyboard ». Ils se servent de la ligne de commande pour (1) collecter des données, y compris des informations d’identification à partir de systèmes locaux et de réseaux, (2) placer les données dans un fichier d’archive pour les exfiltrer, puis (3) utiliser les informations d’identification valides volées pour maintenir la persistance des données. En plus de cela, Volt Typhoon tente de se fondre dans l’activité normale du réseau en acheminant le trafic par le biais d’équipements de réseau SOHO (Small Office and Home Office) compromis, notamment des routeurs, des pare-feu et des équipement VPN. Ils ont également été observés en train d’utiliser des versions personnalisées d’outils open-source pour établir un canal de commande et de contrôle (C2) par l’intermédiaire d’un proxy afin de rester encore plus discrets.

Dans ce billet de blog, nous partageons des informations sur Volt Typhoon, sa campagne visant les fournisseurs d’infrastructures critiques et ses tactiques pour obtenir et maintenir un accès non autorisé aux réseaux cibles. Étant donné que cette activité repose sur des comptes valides et des binaires « Living off the Land » (LOLBins), la détection et l’atténuation de cette attaque pourraient s’avérer difficiles. Les comptes compromis doivent être fermés ou modifiés. À la fin de ce billet de blog, nous partageons d’autres mesures d’atténuation et meilleures pratiques, ainsi que des informations sur la manière dont Microsoft 365 Defender détecte les activités malveillantes et suspectes afin de protéger les organisations contre de telles attaques furtives. La National Security Agency (NSA) a également publié un avis de cybersécurité [PDF] qui contient un guide de repérage en lien avec les tactiques, techniques et procédures (TTP) évoquées dans ce blog. Pour plus d’informations, consultez le billet de blog complet .

Comme à chaque fois qu’une activité d’un acteur étatique est observée, Microsoft a directement notifié les clients ciblés ou compromis, en leur fournissant des informations importantes pour sécuriser leurs environnements. Pour en savoir plus sur l’approche de Microsoft en matière de suivi des acteurs de la menace, lisez Microsoft adopte une nouvelle taxonomie pour désigner les acteurs de la menace

Articles connexes

Découvrez l’ABC du repérage des menaces

En matière de cybersécurité, la vigilance reste de mise. Voici comment repérer, identifier et atténuer les menaces nouvelles et émergentes.

Augmentation des cybermenaces en réponse à l’expansion de la connectivité IoT/OT

Dans notre dernier rapport, nous nous penchons sur la manière dont la connectivité IoT/OT croissante entraîne des vulnérabilités plus importantes et plus graves que les acteurs organisés de la cybermenace peuvent exploiter.

Augmentation de 61 % des attaques par hameçonnage. Maîtriser la surface d’attaque moderne.

Face à une surface d’attaque de plus en plus complexe, les entreprises doivent mettre en place un dispositif de sécurité complet. Avec six secteurs majeurs de la surface d’attaque, ce rapport vous montrera comment une bonne veille des menaces peut contribuer à faire pencher la balance en faveur des défenseurs.

Suivez la Sécurité Microsoft