Les pirates informatiques chinois du Volt Typhoon ont « pré-positionné » des cyberattaques contre des infrastructures critiques américaines pendant cinq ans
Le paysage de la cybersécurité a été secoué par les révélations concernant les activités clandestines de Volt Typhoon, un groupe de piratage informatique parrainé par l'État chinois. Selon un récent avis de l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), Volt Typhoon a infiltré de nombreuses organisations d'infrastructures critiques aux États-Unis et dans leurs territoires, y compris Guam.
Contrairement aux tactiques traditionnelles de cyberespionnage, les opérations de Volt Typhoon semblent se concentrer sur le prépositionnement au sein des réseaux informatiques, ouvrant potentiellement la voie à des actions perturbatrices ciblant les actifs de technologie opérationnelle (OT).
L'avis de la CISA souligne la gravité de la situation, exhortant les défenseurs à rechercher et à éliminer de manière proactive les artefacts de logiciels malveillants laissés par les pirates. L'agence a également fourni des conseils techniques détaillés pour renforcer les défenses contre de telles menaces . La révélation selon laquelle les acteurs de Volt Typhoon ont maintenu l'accès à certains réseaux de victimes pendant cinq ans est particulièrement préoccupante, ce qui fait craindre d'éventuelles actions perturbatrices en période de tension géopolitique ou de conflit militaire.
L'urgence de la situation a été encore renforcée par les récentes mesures prises par le ministère américain de la Justice pour démanteler un botnet utilisé par Volt Typhoon pour des communications secrètes. Ce botnet, composé de routeurs Cisco et Netgear en fin de vie, a servi de canal pour des activités malveillantes et a souligné les capacités du groupe à opérer furtivement au sein de réseaux ciblés.
John Hultquist, analyste en chef chez Mandiant Intelligence – Google Cloud, a souligné la gravité de la situation, soulignant l'accent mis par Volt Typhoon sur l'infiltration et la collecte d'informations à partir des systèmes technologiques opérationnels. De tels systèmes, qui font partie intégrante du fonctionnement des infrastructures critiques, pourraient potentiellement être manipulés pour provoquer des perturbations généralisées, voire des conditions dangereuses.
Ces développements nous rappellent brutalement la nature évolutive des cybermenaces et la nécessité de mesures de cybersécurité robustes pour protéger les infrastructures critiques contre des adversaires sophistiqués comme Volt Typhoon.