Le gouvernement américain a annoncé avoir démantelé le botnet de l'acteur malveillant Volt Typhoon, qu'il utilisait pour attaquer des infrastructures critiques aux États-Unis et dans d'autres pays.
Une opération autorisée par la justice américaine en décembre 2023 a détruit un botnet regroupant des centaines de routeurs de petits bureaux/bureaux à domicile (SOHO) basés aux États-Unis, détournés par des pirates informatiques parrainés par l'État de la République populaire de Chine (RPC).
Volt Typhoon a attaqué une infrastructure critique
Les pirates, connus dans le secteur privé sous le nom de « Volt Typhoon », ont utilisé des routeurs SOHO privés infectés par le malware « KV Botnet » pour retracer l’origine d’autres activités de piratage contre les États-Unis et d’autres victimes étrangères de la République populaire afin d’obscurcir la Chine. Ces activités de piratage supplémentaires comprenaient une campagne contre des organisations d’infrastructures critiques aux États-Unis et ailleurs dans le monde. En mai 2023, ces attaques ont fait l’objet d’une notification de la part du FBI, de la National Security Agency, de la Cybersecurity and Infrastructure Security Agency (CISA) et de partenaires étrangers. Cette même activité a fait l’objet d’avis aux partenaires du secteur privé en mai et décembre 2023, ainsi que d’une alerte supplémentaire Secure by Design émise aujourd’hui par la CISA.
« Le démantèlement du botnet KV par le FBI est un signal clair que le FBI prendra des mesures décisives pour protéger les infrastructures critiques de notre pays contre les cyberattaques », a déclaré l'agent spécial en charge Douglas Williams du bureau extérieur du FBI à Houston. « En veillant à ce que les routeurs des particuliers et des petites entreprises soient remplacés à la fin de leur durée de vie, les citoyens ordinaires peuvent protéger à la fois leur cybersécurité personnelle et la sécurité numérique des États-Unis. »
Commentaire de Google Mandiant
« Volt Typhoon se concentre sur le ciblage des infrastructures critiques (KTITIS), telles que les usines de traitement des eaux, les réseaux électriques, etc. En passant sous les radars, l'acteur s'efforce de réduire les traces qui permettent de suivre ses activités à travers les réseaux. Le groupe utilise des systèmes compromis pour accéder clandestinement à l'activité normale du réseau, changeant constamment la source de son activité. Il évite d'utiliser des logiciels malveillants car ils pourraient déclencher une alarme et nous donner quelque chose de tangible. Le suivi de ces activités est extrêmement difficile, mais pas impossible. Mandiant et Google s'efforcent de garder une longueur d'avance, en travaillant en étroite collaboration avec leurs clients et partenaires.
La Russie cherche aussi les failles
Ce n’est pas la première fois que des infrastructures critiques américaines sont attaquées de cette manière. À plusieurs reprises, des acteurs du renseignement russe ont été découverts au milieu d’opérations similaires qui ont finalement été révélées. De telles opérations sont dangereuses et exigeantes, mais pas impossibles.
Le but de Volt Typhoon était de se préparer à une éventualité sans se faire remarquer. Heureusement, Volt Typhoon n'est pas passé inaperçu, et même si la traque est difficile, nous nous adaptons pour améliorer la collecte de renseignements et contrecarrer cet acteur. Nous anticipons leurs mouvements, nous savons comment les identifier et, surtout, nous savons comment renforcer les réseaux qu'ils ciblent. » – Sandra Joyce, vice-présidente, Mandiant Intelligence – Google Cloud.
Plus sur Justice.gov