En tant que pirates informatiques parrainés par l’État travaillant pour le compte de la Russie, de l’Iran et de la Corée du Nord ont depuis des années fait des ravages avec des cyberattaques perturbatrices à travers le monde, les pirates de l’armée et du renseignement chinois ont largement conservé la réputation de limiter leurs intrusions à l’espionnage. Mais lorsque ces cyberespions pénètrent dans une infrastructure critique aux États-Unis, et plus particulièrement sur un territoire américain aux portes de la Chine, l’espionnage, la planification d’urgence des conflits et l’escalade de la cyberguerre commencent à se ressembler dangereusement.
Mercredi, Microsoft a révélé dans un article de blog qu’il avait suivi un groupe de ce qu’il pense être des pirates informatiques parrainés par l’État chinois qui ont mené depuis 2021 une vaste campagne de piratage ciblant des systèmes d’infrastructure critiques dans les États américains et à Guam, y compris les communications. , fabrication, services publics, construction et transport.
Les intentions du groupe, que Microsoft a nommé Volt Typhoon, peuvent simplement être de l’espionnage, étant donné qu’il ne semble pas avoir utilisé son accès à ces réseaux critiques pour effectuer la destruction de données ou d’autres attaques offensives. Mais Microsoft prévient que la nature du ciblage du groupe, y compris dans un territoire du Pacifique qui pourrait jouer un rôle clé dans un conflit militaire ou diplomatique avec la Chine, pourrait encore permettre ce type de perturbation.
“Le comportement observé suggère que l’acteur de la menace a l’intention de faire de l’espionnage et de maintenir l’accès sans être détecté aussi longtemps que possible”, lit-on sur le blog de la société. Mais il associe cette déclaration à une évaluation avec une “confiance modérée” que les pirates “poursuivent le développement de capacités qui pourraient perturber les infrastructures de communication critiques entre les États-Unis et la région asiatique lors de futures crises”.
La société de cybersécurité Mandiant, propriété de Google, affirme qu’elle a également suivi une partie des intrusions du groupe et lance un avertissement similaire concernant l’accent mis par le groupe sur les infrastructures critiques : “Il n’y a pas de lien clair avec la propriété intellectuelle ou les informations sur les politiques que nous attendons d’une opération d’espionnage”. déclare John Hultquist, responsable du renseignement sur les menaces chez Mandiant. « Cela nous amène à nous demander s’ils sont là parce que les cibles sont essentielles. Notre préoccupation est que l’accent mis sur l’infrastructure critique est la préparation d’attaques perturbatrices ou destructrices potentielles.
Cela correspond aux conclusions de Microsoft. Un porte-parole a déclaré à WIRED dans un communiqué que la société a une confiance modérée dans le groupe qui prépare le terrain pour étendre ses opérations au-delà de l’espionnage parce que “la capacité de perturber est présente”, mais il n’y a pas suffisamment de preuves pour indiquer “l’intention claire de perturber”.
Les “actions du groupe suggèrent qu’il ne s’agit pas d’un objectif exclusivement d’espionnage”, a écrit le porte-parole dans le communiqué. “Les efforts ciblés pour maintenir l’accès à ces types d’organisations ciblées suggèrent que l’auteur de la menace anticipe d’autres opérations futures contre ces systèmes.”
Le billet de blog de Microsoft offrait des détails techniques sur les intrusions des pirates qui pourraient aider les défenseurs du réseau à les repérer et à les expulser : le groupe, par exemple, utilise des routeurs piratés, des pare-feu et d’autres dispositifs de « périphérie » du réseau comme proxys pour lancer son piratage, ciblant les dispositifs qui incluent ceux vendus par les fabricants de matériel ASUS, Cisco, D-Link, Netgear et Zyxel. Le groupe exploite également souvent l’accès fourni à partir de comptes compromis d’utilisateurs légitimes plutôt que ses propres logiciels malveillants pour rendre son activité plus difficile à détecter en semblant bénigne.
