Rencontrez les hackers chinois du « Typhoon » qui se préparent à la guerre

Parmi les risques de cybersécurité auxquels les États-Unis sont aujourd’hui confrontés, peu sont plus importants que les capacités potentielles de sabotage posées par les pirates informatiques soutenus par la Chine, que de hauts responsables de la sécurité nationale américaine ont décrit comme une « menace historique ».

Les États-Unis affirment que les pirates informatiques soutenus par le gouvernement chinois ont – dans certains cas depuis des années – pénétré profondément dans les réseaux d’infrastructures critiques américaines, notamment les fournisseurs d’eau, d’énergie et de transport. L’objectif, selon les responsables, est de jeter les bases de cyberattaques potentiellement destructrices en cas de futur conflit entre la Chine et les États-Unis, par exemple à propos d’une éventuelle invasion chinoise de Taiwan.

« Les pirates informatiques chinois se positionnent sur les infrastructures américaines en vue de faire des ravages et de causer des dommages réels aux citoyens et aux communautés américaines, si ou quand la Chine décide que le moment est venu de frapper », a déclaré l'année dernière Christopher Wray, directeur sortant du FBI, aux législateurs.

Le gouvernement américain et ses alliés ont depuis pris des mesures contre certains groupes de hackers chinois de la famille « Typhoon » et ont publié de nouveaux détails sur les menaces posées par ces groupes.

En janvier 2024, les États-Unis ont démantelé le « Volt Typhoon », un groupe de pirates informatiques du gouvernement chinois chargé de préparer le terrain pour des cyberattaques destructrices. Plus tard, en septembre 2024, les autorités fédérales ont pris le contrôle d'un botnet géré par un autre groupe de piratage chinois appelé « Flax Typhoon », qui a utilisé une société de cybersécurité basée à Pékin pour aider à dissimuler les activités des pirates informatiques du gouvernement chinois. Puis, en décembre, le gouvernement américain a sanctionné la société de cybersécurité pour son rôle présumé dans « de multiples incidents d’intrusion informatique contre des victimes américaines ».

Depuis lors, un autre nouveau groupe de piratage soutenu par la Chine, appelé « Salt Typhoon », est apparu dans les réseaux des géants américains du téléphone et de l’Internet, capable de recueillir des renseignements sur les Américains – et les cibles potentielles de la surveillance américaine – en compromettant les systèmes de télécommunications utilisés pour les écoutes téléphoniques des forces de l’ordre.

Et un acteur menaçant chinois appelé Silk Typhoon (anciennement Hafnium), un groupe de piratage informatique actif depuis au moins 2021, est revenu en décembre 2024 avec une nouvelle campagne ciblant le Trésor américain.

Voici ce que nous avons appris sur les groupes de hackers chinois qui se préparent à la guerre.

Typhon Volt

Volt Typhoon représente une nouvelle génération de groupes de hackers soutenus par la Chine ; ne visait plus seulement à voler des secrets américains sensibles, mais plutôt à se préparer à perturber la « capacité de mobilisation » de l'armée américaine, selon le directeur du FBI de l'époque.

Microsoft a identifié Volt Typhoon pour la première fois en mai 2023, constatant que les pirates avaient ciblé et compromis des équipements réseau, tels que des routeurs, des pare-feu et des VPN, depuis au moins mi-2021 dans le cadre d'un effort continu et concerté visant à s'infiltrer profondément dans les systèmes de Infrastructure critique américaine. La communauté du renseignement américain a déclaré qu'en réalité, il est probable que les pirates informatiques opèrent depuis beaucoup plus longtemps, potentiellement jusqu'à cinq ans.

Volt Typhoon a compromis des milliers de ces appareils connectés à Internet dans les mois qui ont suivi le rapport de Microsoft, en exploitant les vulnérabilités d'appareils considérés comme « en fin de vie » et ne recevant donc plus de mises à jour de sécurité. Le groupe de piratage a ensuite obtenu un accès plus approfondi aux environnements informatiques de plusieurs secteurs d'infrastructures critiques, notamment l'aviation, l'eau, l'énergie et les transports, se prépositionnant ainsi pour activer de futures cyberattaques perturbatrices visant à ralentir la réponse du gouvernement américain à une invasion de son principal allié. Taïwan.

“Cet acteur ne se livre pas à la collecte discrète de renseignements et au vol de secrets qui sont la norme aux États-Unis. Il enquête sur les infrastructures critiques sensibles afin de pouvoir perturber les services majeurs si et quand l'ordre tombe”, a déclaré John Hultquist, chef de la direction. analyste chez Mandiant, société de sécurité.

Le gouvernement américain a déclaré en janvier 2024 avoir réussi à démanteler un botnet, utilisé par Volt Typhoon, composé de milliers de routeurs de petits bureaux et de réseaux domestiques basés aux États-Unis, que le groupe de piratage chinois a utilisé pour cacher son activité malveillante visant à cibler les États-Unis. infrastructures critiques. Le FBI a déclaré avoir réussi à supprimer le malware des routeurs piratés grâce à une opération sanctionnée par le tribunal, coupant ainsi la connexion du groupe de hackers chinois au botnet.

En janvier 2025, les États-Unis avaient découvert plus de 100 intrusions à travers le pays et ses territoires liées au Volt Typhoon, selon un rapport de Bloomberg. Un grand nombre de ces attaques ont visé Guam, un territoire insulaire américain dans le Pacifique et un emplacement stratégique pour les opérations militaires américaines, indique le rapport. Volt Typhoon aurait ciblé les infrastructures critiques de l'île, notamment sa principale autorité électrique, le plus grand fournisseur de cellules de l'île, et plusieurs réseaux fédéraux américains, y compris des systèmes de défense sensibles, basés à Guam. Bloomberg a rapporté que Volt Typhoon a utilisé un tout nouveau type de malware pour cibler des réseaux à Guam qu'il n'avait jamais déployés auparavant, ce que les chercheurs ont considéré comme un signe de la grande importance que la région revêt pour les pirates informatiques soutenus par la Chine.

Typhon de lin

Flax Typhoon, dévoilé pour la première fois par Microsoft plusieurs mois plus tard dans un rapport d'août 2023, est un autre groupe de piratage soutenu par la Chine, qui, selon les responsables, a opéré sous le couvert d'une société de cybersécurité cotée en bourse et basée à Pékin pour mener des piratages contre des infrastructures critiques ces derniers temps. années. Microsoft a déclaré que Flax Typhoon – également actif depuis la mi-2021 – ciblait principalement des dizaines « d’agences gouvernementales et d’organisations d’éducation, de fabrication critique et de technologie de l’information à Taiwan ».

Puis, en septembre 2023, le gouvernement américain a déclaré avoir pris le contrôle d’un autre botnet, composé de centaines de milliers d’appareils connectés à Internet piratés, et utilisé par Flax Typhoon pour « mener des cyberactivités malveillantes déguisées en trafic Internet de routine depuis le pays ». appareils grand public infectés. Les procureurs ont déclaré que le botnet permettait à d’autres pirates informatiques soutenus par le gouvernement chinois de « pirater des réseaux aux États-Unis et dans le monde entier pour voler des informations et mettre notre infrastructure en danger ».

Le ministère de la Justice a par la suite corroboré les conclusions de Microsoft, ajoutant que Flax Typhoon avait également « attaqué plusieurs sociétés américaines et étrangères ».

Les responsables américains ont déclaré que le botnet utilisé par Flax Typhoon était exploité et contrôlé par la société de cybersécurité basée à Pékin, Integrity Technology Group. En janvier 2024, le gouvernement américain a imposé des sanctions à Integrity Tech en raison de ses liens présumés avec Flax Typhoon.

Typhon de sel

Le dernier groupe – et potentiellement le plus inquiétant – de la cyber-armée soutenue par le gouvernement chinois découvert ces derniers mois est Salt Typhoon.

Salt Typhoon a fait la une des journaux en octobre 2024 pour un autre type d'opération de collecte d'informations. Comme l'a rapporté pour la première fois le Wall Street Journal, le groupe de piratage lié à la Chine a compromis plusieurs fournisseurs de télécommunications et d'accès Internet américains, notamment AT&T, Lumen (anciennement CenturyLink) et Verizon. Le Journal a rapporté plus tard en janvier 2025 que Salt Typhoon avait également violé les fournisseurs d'accès Internet basés aux États-Unis, Charter Communications et Windstream. La cyber-responsable américaine Anne Neuberger a déclaré que le gouvernement fédéral avait identifié un neuvième opérateur téléphonique piraté, sans nom.

Selon un rapport, Salt Typhoon aurait pu accéder à ces opérateurs téléphoniques en utilisant des routeurs Cisco compromis. Une fois à l'intérieur des réseaux de l'entreprise de télécommunications, les attaquants ont pu accéder aux métadonnées des appels et des SMS des clients, notamment la date et l'heure des communications des clients, les adresses IP source et de destination et les numéros de téléphone de plus d'un million d'utilisateurs ; dont la plupart étaient des individus situés dans la région de Washington DC. Dans certains cas, les pirates ont été capables de capturer le son des téléphones de personnes âgées américaines. Neuberger a déclaré qu’un « grand nombre » de ceux qui avaient accès aux données étaient des « cibles d’intérêt du gouvernement ».

En piratant les systèmes utilisés par les forces de l'ordre pour la collecte de données clients autorisée par les tribunaux, Salt Typhoon a également potentiellement obtenu l'accès aux données et aux systèmes qui hébergent une grande partie des demandes de données du gouvernement américain, y compris l'identité potentielle des cibles chinoises de la surveillance américaine.

On ne sait pas encore quand la violation des systèmes d'écoute électronique s'est produite, mais elle pourrait remonter au début de 2024, selon les informations du Journal.

AT&T et Verizon ont déclaré à Testeur Joe en décembre 2024 que leurs réseaux étaient sécurisés après avoir été ciblés par le groupe d'espionnage Salt Typhoon. Lumen a confirmé peu de temps après que son réseau était exempt de pirates informatiques.

Typhon de soie

Le groupe de piratage soutenu par la Chine, anciennement connu sous le nom de Hafnium, est réapparu discrètement sous le nom de Silk Typhoon après avoir été lié à un piratage du Trésor américain en décembre 2024.

Dans une lettre adressée aux législateurs consultée par Testeur Joe, le Trésor américain a déclaré fin décembre 2024 que les pirates informatiques soutenus par la Chine avaient utilisé une clé volée à BeyondTrust – une société qui fournit des technologies d'accès aux identités aux grandes organisations et aux ministères gouvernementaux – pour accéder à distance à certains Postes de travail des employés de la Trésorerie, y compris les documents internes sur le réseau non classifié du département.

Au cours du piratage, le groupe de piratage parrainé par l'État a également compromis le bureau des sanctions du Trésor, qui impose des sanctions économiques et commerciales contre des pays et des individus ; et a également violé le Comité du Trésor sur les investissements étrangers, ou CFIUS, en décembre, un bureau qui a le pouvoir de bloquer les investissements chinois aux États-Unis.

Silk Typhoon n'est pas un nouveau groupe de menace, ayant déjà fait la une des journaux en 2021 sous le nom de Hafnium – comme on l'appelait alors – pour avoir exploité les vulnérabilités des serveurs de messagerie Microsoft Exchange auto-hébergés qui ont compromis plus de 60 000 organisations.

Selon Microsoft, qui suit le groupe de piratage soutenu par le gouvernement, Silk Typhoon se concentre généralement sur la reconnaissance et le vol de données et est connu pour cibler les organismes de santé, les cabinets d'avocats et les organisations non gouvernementales en Australie, au Japon, au Vietnam et aux États-Unis. .

Publié pour la première fois le 13 octobre 2024 et mis à jour.

rewrite this content and keep HTML tags

Parmi les risques de cybersécurité auxquels les États-Unis sont aujourd’hui confrontés, peu sont plus importants que les capacités potentielles de sabotage posées par les pirates informatiques soutenus par la Chine, que de hauts responsables de la sécurité nationale américaine ont décrit comme une « menace historique ».

Les États-Unis affirment que les pirates informatiques soutenus par le gouvernement chinois ont – dans certains cas depuis des années – pénétré profondément dans les réseaux d’infrastructures critiques américaines, notamment les fournisseurs d’eau, d’énergie et de transport. L’objectif, selon les responsables, est de jeter les bases de cyberattaques potentiellement destructrices en cas de futur conflit entre la Chine et les États-Unis, par exemple à propos d’une éventuelle invasion chinoise de Taiwan.

« Les pirates informatiques chinois se positionnent sur les infrastructures américaines en vue de faire des ravages et de causer des dommages réels aux citoyens et aux communautés américaines, si ou quand la Chine décide que le moment est venu de frapper », a déclaré l'année dernière Christopher Wray, directeur sortant du FBI, aux législateurs.

Le gouvernement américain et ses alliés ont depuis pris des mesures contre certains groupes de hackers chinois de la famille « Typhoon » et ont publié de nouveaux détails sur les menaces posées par ces groupes.

En janvier 2024, les États-Unis ont démantelé le « Volt Typhoon », un groupe de pirates informatiques du gouvernement chinois chargé de préparer le terrain pour des cyberattaques destructrices. Plus tard, en septembre 2024, les autorités fédérales ont pris le contrôle d'un botnet géré par un autre groupe de piratage chinois appelé « Flax Typhoon », qui a utilisé une société de cybersécurité basée à Pékin pour aider à dissimuler les activités des pirates informatiques du gouvernement chinois. Puis, en décembre, le gouvernement américain a sanctionné la société de cybersécurité pour son rôle présumé dans « de multiples incidents d’intrusion informatique contre des victimes américaines ».

Depuis lors, un autre nouveau groupe de piratage soutenu par la Chine, appelé « Salt Typhoon », est apparu dans les réseaux des géants américains du téléphone et de l’Internet, capable de recueillir des renseignements sur les Américains – et les cibles potentielles de la surveillance américaine – en compromettant les systèmes de télécommunications utilisés pour les écoutes téléphoniques des forces de l’ordre.

Et un acteur menaçant chinois appelé Silk Typhoon (anciennement Hafnium), un groupe de piratage informatique actif depuis au moins 2021, est revenu en décembre 2024 avec une nouvelle campagne ciblant le Trésor américain.

Voici ce que nous avons appris sur les groupes de hackers chinois qui se préparent à la guerre.

Typhon Volt

Volt Typhoon représente une nouvelle génération de groupes de hackers soutenus par la Chine ; ne visait plus seulement à voler des secrets américains sensibles, mais plutôt à se préparer à perturber la « capacité de mobilisation » de l'armée américaine, selon le directeur du FBI de l'époque.

Microsoft a identifié Volt Typhoon pour la première fois en mai 2023, constatant que les pirates avaient ciblé et compromis des équipements réseau, tels que des routeurs, des pare-feu et des VPN, depuis au moins mi-2021 dans le cadre d'un effort continu et concerté visant à s'infiltrer profondément dans les systèmes de Infrastructure critique américaine. La communauté du renseignement américain a déclaré qu'en réalité, il est probable que les pirates informatiques opèrent depuis beaucoup plus longtemps, potentiellement jusqu'à cinq ans.

Volt Typhoon a compromis des milliers de ces appareils connectés à Internet dans les mois qui ont suivi le rapport de Microsoft, en exploitant les vulnérabilités d'appareils considérés comme « en fin de vie » et ne recevant donc plus de mises à jour de sécurité. Le groupe de piratage a ensuite obtenu un accès plus approfondi aux environnements informatiques de plusieurs secteurs d'infrastructures critiques, notamment l'aviation, l'eau, l'énergie et les transports, se prépositionnant ainsi pour activer de futures cyberattaques perturbatrices visant à ralentir la réponse du gouvernement américain à une invasion de son principal allié. Taïwan.

“Cet acteur ne se livre pas à la collecte discrète de renseignements et au vol de secrets qui sont la norme aux États-Unis. Il enquête sur les infrastructures critiques sensibles afin de pouvoir perturber les services majeurs si et quand l'ordre tombe”, a déclaré John Hultquist, chef de la direction. analyste chez Mandiant, société de sécurité.

Le gouvernement américain a déclaré en janvier 2024 avoir réussi à démanteler un botnet, utilisé par Volt Typhoon, composé de milliers de routeurs de petits bureaux et de réseaux domestiques basés aux États-Unis, que le groupe de piratage chinois a utilisé pour cacher son activité malveillante visant à cibler les États-Unis. infrastructures critiques. Le FBI a déclaré avoir réussi à supprimer le malware des routeurs piratés grâce à une opération sanctionnée par le tribunal, coupant ainsi la connexion du groupe de hackers chinois au botnet.

En janvier 2025, les États-Unis avaient découvert plus de 100 intrusions à travers le pays et ses territoires liées au Volt Typhoon, selon un rapport de Bloomberg. Un grand nombre de ces attaques ont visé Guam, un territoire insulaire américain dans le Pacifique et un emplacement stratégique pour les opérations militaires américaines, indique le rapport. Volt Typhoon aurait ciblé les infrastructures critiques de l'île, notamment sa principale autorité électrique, le plus grand fournisseur de cellules de l'île, et plusieurs réseaux fédéraux américains, y compris des systèmes de défense sensibles, basés à Guam. Bloomberg a rapporté que Volt Typhoon a utilisé un tout nouveau type de malware pour cibler des réseaux à Guam qu'il n'avait jamais déployés auparavant, ce que les chercheurs ont considéré comme un signe de la grande importance que la région revêt pour les pirates informatiques soutenus par la Chine.

Typhon de lin

Flax Typhoon, dévoilé pour la première fois par Microsoft plusieurs mois plus tard dans un rapport d'août 2023, est un autre groupe de piratage soutenu par la Chine, qui, selon les responsables, a opéré sous le couvert d'une société de cybersécurité cotée en bourse et basée à Pékin pour mener des piratages contre des infrastructures critiques ces derniers temps. années. Microsoft a déclaré que Flax Typhoon – également actif depuis la mi-2021 – ciblait principalement des dizaines « d’agences gouvernementales et d’organisations d’éducation, de fabrication critique et de technologie de l’information à Taiwan ».

Puis, en septembre 2023, le gouvernement américain a déclaré avoir pris le contrôle d’un autre botnet, composé de centaines de milliers d’appareils connectés à Internet piratés, et utilisé par Flax Typhoon pour « mener des cyberactivités malveillantes déguisées en trafic Internet de routine depuis le pays ». appareils grand public infectés. Les procureurs ont déclaré que le botnet permettait à d’autres pirates informatiques soutenus par le gouvernement chinois de « pirater des réseaux aux États-Unis et dans le monde entier pour voler des informations et mettre notre infrastructure en danger ».

Le ministère de la Justice a par la suite corroboré les conclusions de Microsoft, ajoutant que Flax Typhoon avait également « attaqué plusieurs sociétés américaines et étrangères ».

Les responsables américains ont déclaré que le botnet utilisé par Flax Typhoon était exploité et contrôlé par la société de cybersécurité basée à Pékin, Integrity Technology Group. En janvier 2024, le gouvernement américain a imposé des sanctions à Integrity Tech en raison de ses liens présumés avec Flax Typhoon.

Typhon de sel

Le dernier groupe – et potentiellement le plus inquiétant – de la cyber-armée soutenue par le gouvernement chinois découvert ces derniers mois est Salt Typhoon.

Salt Typhoon a fait la une des journaux en octobre 2024 pour un autre type d'opération de collecte d'informations. Comme l'a rapporté pour la première fois le Wall Street Journal, le groupe de piratage lié à la Chine a compromis plusieurs fournisseurs de télécommunications et d'accès Internet américains, notamment AT&T, Lumen (anciennement CenturyLink) et Verizon. Le Journal a rapporté plus tard en janvier 2025 que Salt Typhoon avait également violé les fournisseurs d'accès Internet basés aux États-Unis, Charter Communications et Windstream. La cyber-responsable américaine Anne Neuberger a déclaré que le gouvernement fédéral avait identifié un neuvième opérateur téléphonique piraté, sans nom.

Selon un rapport, Salt Typhoon aurait pu accéder à ces opérateurs téléphoniques en utilisant des routeurs Cisco compromis. Une fois à l'intérieur des réseaux de l'entreprise de télécommunications, les attaquants ont pu accéder aux métadonnées des appels et des SMS des clients, notamment la date et l'heure des communications des clients, les adresses IP source et de destination et les numéros de téléphone de plus d'un million d'utilisateurs ; dont la plupart étaient des individus situés dans la région de Washington DC. Dans certains cas, les pirates ont été capables de capturer le son des téléphones de personnes âgées américaines. Neuberger a déclaré qu’un « grand nombre » de ceux qui avaient accès aux données étaient des « cibles d’intérêt du gouvernement ».

En piratant les systèmes utilisés par les forces de l'ordre pour la collecte de données clients autorisée par les tribunaux, Salt Typhoon a également potentiellement obtenu l'accès aux données et aux systèmes qui hébergent une grande partie des demandes de données du gouvernement américain, y compris l'identité potentielle des cibles chinoises de la surveillance américaine.

On ne sait pas encore quand la violation des systèmes d'écoute électronique s'est produite, mais elle pourrait remonter au début de 2024, selon les informations du Journal.

AT&T et Verizon ont déclaré à Testeur Joe en décembre 2024 que leurs réseaux étaient sécurisés après avoir été ciblés par le groupe d'espionnage Salt Typhoon. Lumen a confirmé peu de temps après que son réseau était exempt de pirates informatiques.

Typhon de soie

Le groupe de piratage soutenu par la Chine, anciennement connu sous le nom de Hafnium, est réapparu discrètement sous le nom de Silk Typhoon après avoir été lié à un piratage du Trésor américain en décembre 2024.

Dans une lettre adressée aux législateurs consultée par Testeur Joe, le Trésor américain a déclaré fin décembre 2024 que les pirates informatiques soutenus par la Chine avaient utilisé une clé volée à BeyondTrust – une société qui fournit des technologies d'accès aux identités aux grandes organisations et aux ministères gouvernementaux – pour accéder à distance à certains Postes de travail des employés de la Trésorerie, y compris les documents internes sur le réseau non classifié du département.

Au cours du piratage, le groupe de piratage parrainé par l'État a également compromis le bureau des sanctions du Trésor, qui impose des sanctions économiques et commerciales contre des pays et des individus ; et a également violé le Comité du Trésor sur les investissements étrangers, ou CFIUS, en décembre, un bureau qui a le pouvoir de bloquer les investissements chinois aux États-Unis.

Silk Typhoon n'est pas un nouveau groupe de menace, ayant déjà fait la une des journaux en 2021 sous le nom de Hafnium – comme on l'appelait alors – pour avoir exploité les vulnérabilités des serveurs de messagerie Microsoft Exchange auto-hébergés qui ont compromis plus de 60 000 organisations.

Selon Microsoft, qui suit le groupe de piratage soutenu par le gouvernement, Silk Typhoon se concentre généralement sur la reconnaissance et le vol de données et est connu pour cibler les organismes de santé, les cabinets d'avocats et les organisations non gouvernementales en Australie, au Japon, au Vietnam et aux États-Unis. .

Publié pour la première fois le 13 octobre 2024 et mis à jour.

Laisser un commentaire

WP Twitter Auto Publish Powered By : XYZScripts.com