Les infrastructures OT des USA sont de plus en plus menacées par le groupe Volt Typhoon, sponsorisé par la Chine.

Secu

Quand la Chine s’attaque aux infrastructures OT des USA

Par Laurent Delattre, publié le 08 février 2024

Dans un nouveau rapport, la CISA s’alarme des agissements du groupe de cyber-espionnage Volt Typhoon, sponsorisé par la Chine, et de l’escalade de leurs cyberattaques sur les infrastructures OT essentielles des USA.

Voilà qui ne va certainement pas améliorer les relations américano-chinoises déjà très tendues. Pour la CISA, il n’y a plus aucun doute. La Chine, via le groupe de cyberattaquants Volt Typhoon, a considérablement accentué ses attaques sur les infrastructures IT et OT des États-Unis. Avec, selon les rapporteurs, une ambition de perturber les services vitaux comme l’énergie, l’approvisionnement en eau, les télécommunications, les transports aériens, maritimes et ferroviaires.

Le groupe Volt Typhoon, sponsorisé par la Chine, « a compromis des entités dans de nombreux secteurs d’infrastructures critiques du cyberespace, notamment les communications, l’énergie, les transports, l’eau et les eaux usées, aux États-Unis et dans leurs territoires » affirme la CISA. « Les données et les informations recueillies par la CISA et ses partenaires du gouvernement américain suggèrent fortement que la République Populaire de Chine se prépare à lancer des cyberattaques destructrices qui mettraient en péril la sécurité physique des Américains et entraveraient la préparation militaire en cas de crise majeure ou de conflit avec les États-Unis. »

Les autorités américaines ont traditionnellement tendance à adopter un ton alarmant, mais le message ici monte d’une tonalité dans l’angoisse.

Ce n’est pas de la Science-Fiction

« La cyber menace chinoise n’est pas théorique : grâce aux informations fournies par nos partenaires gouvernementaux et industriels, les équipes de la CISA ont découvert et éradiqué les intrusions de Volt Typhoon dans les infrastructures critiques de nombreux secteurs. Et ce que nous avons découvert à ce jour n’est probablement que la partie émergée de l’iceberg », ajoute Jen Easterly, directrice de la CISA.

Il est vrai que ces dernières semaines, les actualités autour des agissements de Volt Typhoon aux US se sont multipliées. Le botnet « KV-Botnet » essentiellement composé de routeurs familiaux compromis ainsi que de Webcams vulnérables a été intensivement utilisé l’an dernier pour infecter différentes agences gouvernementales américaines, un fournisseur de réseaux satellite, un fournisseur Internet, deux opérateurs de télécommunication et même des entités militaires. Les US ne sont pas les seules infrastructures visées puisque le botnet aurait aussi été utilisé pour mener une attaque contre un fournisseur d’énergie renouvelable en Europe selon un rapport des Black Lotus Labs de Lumen.


À LIRE AUSSI :


La tactique du prépositionnement

Selon la CISA, qui confirme un rapport publié en Mai 2023 par Microsoft, la stratégie de Volt Typhoon vise clairement à préparer le terrain pour des actes de sabotage en cas de conflit avec les USA dans le but de provoquer désordre et chaos. Selon la CISA, ces derniers mois, la stratégie de Volt Typhoon a évolué du cyber-espionnage vers un prépositionnement dans les infrastructures critiques. Un prépositionnement sur les réseaux IT pour permettre, quand le moment sera approprié, une intrusion latérale sur les réseaux OT afin de perturber le fonctionnement des systèmes opérationnels.

Le principe n’est certes pas nouveau. Déjà lors du FIC 2021, Guillaume Poupard, alors patron de l’ANSSI s’inquiétait d’un développement accéléré d’une cybercriminalité « stratégique » pilotée par les états : « L’ANSSI trouve des traces d’attaques de ce type partout. Elles sont de plus en plus complexes et massives » expliquait-il déjà à l’époque. La ministre des armées de l’époque, Florence Parly, lui faisait écho en affirmant que « tout en restant sous le seul de l’acte de guerre, des états mènent désormais en permanence et de façon croissante des actes d’intimidation, de renseignement, de sabotage ou de désinformation. Des actes qui se situent dans la zone grise de la conflictualité mais qui se multiplient au gré des tensions géopolitiques ». 
Or depuis 2021, les relations internationales n’ont fait qu’empirer avec les interdictions d’accès aux technologies US pour la Chine, la guerre en Ukraine et le conflit au Moyen-Orient.

Le rapport de la CISA veut mettre en lumière l’ampleur de la menace : Volt Typhoon ne se contente pas de collecter des informations mais s’infiltre activement dans les systèmes OT, menaçant directement le cœur opérationnel de l’infrastructure critique. Cette menace ouvre la voie à des perturbations majeures, voire à des situations de danger réel. Or le problème, c’est que cette menace est sournoise parce qu’implémentée par petite touche, progressivement, sur le long terme, afin d’échapper aux radars. La CISA révèle ainsi avoir découvert sur certains réseaux infiltrés des éléments prouvant la présence des cyberattaquants depuis près de 5 ans. « En recourant à des techniques d’infiltration de type « living off the land », les cyberacteurs de la RPC se fondent dans les activités normales des systèmes et des réseaux, évitent d’être identifiés par les défenses des réseaux et limitent la quantité d’activités capturées dans les configurations de journalisation courantes » affirment les rapporteurs de la CISA.

Pour aider les organisations à traquer et à détecter efficacement ces tactiques de prépositionnement, la CISA et ses partenaires viennent de publier des « orientations conjointes complémentaires » qui peuvent aussi intéresser bien des DSI et RSSI français. Ce document est à télécharger ici : Identifying and Mitigating Living Off the Land Techniques


À LIRE AUSSI :

À LIRE AUSSI :

Dans l'actualité