Des pirates chinois ont compromis une infrastructure critique américaine, selon Microsoft

Un acteur de la menace basé en Chine cible des organisations d’infrastructures critiques à Guam et ailleurs aux États-Unis depuis 2021, probablement à des fins d’espionnage, selon Microsoft.

Dans une recherche publiée mercredi, la société a déclaré le groupe qu’il surnomme Volt Typhoon “poursuit le développement de capacités qui pourraient perturber les infrastructures de communication critiques entre les États-Unis et la région asiatique lors de crises futures”, en s’appuyant presque exclusivement sur des techniques de vie hors de la terre et des activités pratiques au clavier.

Volt Typhoon obtient généralement un accès initial aux organisations ciblées d’une manière ou d’une autre via des appareils Fortinet FortiGuard connectés à Internet, ajoute Microsoft. Si tel est le cas, l’attaquant tente d’exploiter tous les privilèges accordés par l’appareil Fortinet, extrait les informations d’identification d’un compte Active Directory utilisé par l’appareil, puis tente de s’authentifier auprès d’autres appareils du réseau avec ces informations d’identification.

Le gang transmet par procuration tout son trafic réseau à ses cibles via des dispositifs de périphérie de réseau SOHO compromis (y compris des routeurs). Microsoft a confirmé que de nombreux appareils, dont ceux fabriqués par ASUS, Cisco Systems, D-Link, Netgear et Zyxel, exposent des interfaces de gestion HTTP ou SSH à Internet.

Les propriétaires d’appareils de périphérie de réseau doivent s’assurer que les interfaces de gestion ne sont pas exposées à l’Internet public afin de réduire leur surface d’attaque, exhorte Microsoft. En faisant appel à ces appareils, Volt Typhoon améliore la furtivité de leurs opérations et réduit les frais généraux d’acquisition d’infrastructures, note-t-il.

Au moment de la publication du rapport de Microsoft, les agences de cybersécurité de la coopérative de renseignement Five Eyes, dont le Canada et les États-Unis, émis un avis y compris les conseils de chasse et les meilleures pratiques associées pour les organismes d’infrastructures critiques du secteur privé afin de détecter cette activité.

Microsoft a déclaré que les organisations américaines concernées couvrent les secteurs des communications, de la fabrication, des services publics, des transports, de la construction, maritime, gouvernemental, des technologies de l’information et de l’éducation.

Les tactiques incluent l’émission de commandes via la ligne de commande pour collecter des données, y compris les informations d’identification des systèmes locaux et réseau, placer les données dans un fichier d’archive pour les préparer à l’exfiltration, puis utiliser les informations d’identification valides volées pour maintenir la persistance.

« De plus, Volt Typhoon essaie de se fondre dans l’activité normale du réseau en acheminant le trafic via des équipements réseau compromis pour les petits bureaux et les bureaux à domicile (SOHO), y compris les routeurs, les pare-feu et le matériel VPN. Ils ont également été observés en train d’utiliser des versions personnalisées d’outils open source pour établir un canal de commande et de contrôle (C2) sur proxy afin de rester encore plus discrets.

Certains des outils Windows intégrés utilisés par cet acteur sont : wmic, ntdsutil, netsh, et PowerShell, l’avis Five Eyes dit.

Le nom Volt Typhoon vient de La nouvelle convention de dénomination des acteurs menaçants de Microsoft, où les groupes sont nommés d’après les événements météorologiques. Typhoon signifie un groupe venu de Chine.

Atténuer les risques d’adversaires comme Volt Typhoon qui s’appuient sur des comptes valides et des binaires vivant hors de la terre (LOLBins) est particulièrement difficile, déclare Microsoft. « La détection d’une activité qui utilise des canaux de connexion normaux et des fichiers binaires système nécessite une surveillance comportementale. La correction nécessite la fermeture ou la modification des informations d’identification des comptes compromis », indique-t-il.

Parmi les défenses recommandées : appliquez des politiques d’authentification multifacteur (MFA) renforcées à l’aide de clés de sécurité matérielles ou d’une application d’authentification. La connexion sans mot de passe, les règles d’expiration des mots de passe et la désactivation des comptes inutilisés peuvent également contribuer à atténuer les risques, selon Microsoft.

L’avis Five Eyes avertit les responsables de l’infosec que lorsqu’un acteur menaçant utilise des techniques de vie hors du terrain, certaines activités de lignes de commande peuvent sembler bénignes. “Les défenseurs doivent évaluer les correspondances pour déterminer leur importance, en appliquant leur connaissance du système et du comportement de base”, prévient l’avis. “De plus, s’ils créent une logique de détection basée sur ces commandes, les défenseurs du réseau doivent tenir compte de la variabilité des arguments de la chaîne de commande, car des éléments tels que les ports utilisés peuvent être différents d’un environnement à l’autre.”