Microsoft aurait découvert une activité malveillante furtive et ciblée qui vise des organisations d’infrastructures critiques aux États-Unis. L’attaque serait menée par Volt Typhoon, un acteur parrainé par l’État et basé en Chine, qui se concentre généralement sur l’espionnage et la collecte d’informations. Microsoft estime avec un degré de confiance modéré que cette campagne de Volt Typhoon poursuit le développement de capacités susceptibles de perturber les infrastructures de communication critiques entre les États-Unis et la région asiatique lors de futures crises.
Volt Typhoon est actif depuis le milieu de l’année 2021 et a ciblé des organisations d’infrastructures critiques à Guam et ailleurs aux États-Unis. Dans le cadre de cette campagne, les organisations touchées couvriraient les secteurs des communications, de l’industrie, des services publics, des transports, de la construction, de la marine, du gouvernement, des technologies de l’information et de l’éducation. Le comportement observé suggèrerait que l’acteur de la menace a l’intention de faire de l’espionnage et de maintenir l’accès sans être détecté aussi longtemps que possible.
Pour atteindre son objectif, l’acteur de la menace mettrait fortement l’accent sur la furtivité. Il utiliserait la ligne de commande pour collecter des données, y compris des informations d’identification à partir de systèmes locaux et de réseaux, les placer dans un fichier d’archive afin de les exfiltrer, puis utiliser les informations d’identification volées pour maintenir la persistance de l’attaque.
Volt Typhoon tenterait de se fondre dans l’activité normale du réseau en acheminant le trafic par l’intermédiaire d’équipements compromis de réseau SOHO pour PME , notamment des routeurs, des pare-feu et du matériel VPN. Ils auraient également été observés en train d’utiliser des versions personnalisées d’outils en code source ouvert pour établir un canal de commande et de contrôle (C2) par le biais d’un serveur mandataire afin de rester encore plus discrets.
Microsoft aurait directement notifié les clients ciblés ou compromis, leur fournissant des informations importantes nécessaires pour sécuriser leurs environnements.
L’entreprise américaine recommande notamment de fermer ou modifier les informations d’identification de tous les comptes compromis ; et d’examiner l’activité des comptes compromis pour détecter toute action malveillante ou toute donnée exposée.
Pour se défendre, il faudrait utiliser l’authentification à facteurs multiples, les connexions sans mot de passe ; réduire la surface d’attaque, en renforçant le processus LSASS en activant la protection supplémentaire sur les appareils Windows 11, en activant Windows Defender Credention Guard, le blocage à la première consultation de Microsoft Defender pour point de terminaison, ainsi que la détection de point de terminaison et réponse en mode bloc.
La National Security Agency (NSA) a publié un bulletin pour détailler le fonctionnement des attaques et les réponses à adopter.
Durant une conférence de presse, un porte-parole du ministère des Affaires Étrangères de la Chine affirme que ce bulletin déborde de désinformation, et que les États-Unis sont les champions du piratage.