Les experts saluent les sanctions économiques contre les gangs soupçonnés d’être à l’origine des piratages de télécommunications, mais préviennent que des mesures plus strictes sont nécessaires.
Les États-Unis ripostent contre le groupe de menace, surnommé Salt Typhoon par Microsoft, qui serait à l’origine des récentes cyberattaques contre les fournisseurs de télécommunications américains, dans le cadre d’une campagne plus large contre le piratage informatique basé en Chine.
Vendredi, le Bureau de contrôle des avoirs étrangers (OFAC) du Département du Trésor a annoncé qu’il sanctionnait Sichuan Juxinhe Network Technology, une société de cybersécurité basée au Sichuan, pour son implication directe présumée dans le cybergroupe Salt Typhoon.
Yin Kecheng, un cyberacteur basé à Shanghai qui aurait été impliqué dans la récente compromission du réseau du Trésor, est également sanctionné.
Mais les experts préviennent qu’il en faudra beaucoup plus pour dissuader ce groupe ainsi que d’autres groupes alignés sur la Chine.
Dans un communiqué, John Hultquist, analyste en chef chez Mandiant Intelligence, a déclaré : « Malheureusement, il est peu probable que les acteurs derrière ces attaques soient entièrement dissuadés par ces actions. »
« Mais », a-t-il ajouté, « il est important de faire la lumière sur leurs opérations et d’ajouter autant de frictions que possible. Il est peu probable que l’espionnage disparaisse de sitôt, mais nous pouvons le dénoncer et nous adapter. Ces acteurs sont certainement déterminés à s’adapter à nous.
David Swan, consultant canadien en cybersécurité, est du même avis. Il a déclaré : « La Chine travaille depuis longtemps à pénétrer les télécommunications nord-américaines… La RPC (République populaire de Chine) va-t-elle être difficile à déterrer ? Oui bien sûr! »
« Je pense que c’est un bon premier pas », a déclaré Gabrielle Hempel, ingénieure solutions clients chez Exabeam, titulaire d’un master en affaires mondiales et cybersécurité et également étudiante en première année de droit.
Mais, a-t-elle ajouté, « les sanctions (économiques) constituent une zone grise. À bien des égards, elles sont très symboliques et difficiles à appliquer. Ils montrent que les États-Unis agissent. Mais ce n’est pas nécessairement un moyen pratique de perturber l’un ou l’autre de ces groupes. Oui, cela pourrait avoir beaucoup d’impact pour un individu s’il possédait des actifs financiers américains ou quelque chose du genre. Mais les auteurs de menaces parrainées par l’État disposent de tellement de ressources et de protections que les sanctions n’ont en réalité aucun impact. »
Par exemple, a-t-elle déclaré, les acteurs nord-coréens de la menace utilisent des solutions de contournement en matière de crypto-monnaie pour contourner les sanctions.
« Nous devons vraiment continuer à travailler avec nos alliés et partenaires » avec des outils tels que « nommer et dénoncer » les acteurs de la menace, des cyber-tactiques offensives, des inculpations criminelles et le ciblage de l’infrastructure financière ou informatique de soutien d’un groupe, a-t-elle déclaré.
Dans un communiqué annonçant cette action, le département du Trésor a déclaré que les cyber-acteurs malveillants liés à la République populaire de Chine continuent de cibler les systèmes du gouvernement américain, tels que les systèmes informatiques du Trésor, ainsi que les infrastructures critiques américaines sensibles.
« Le département du Trésor continuera d’utiliser ses pouvoirs pour demander des comptes aux cyber-acteurs malveillants qui ciblent le peuple américain, nos entreprises et le gouvernement des États-Unis, y compris ceux qui ont spécifiquement ciblé le département du Trésor », a déclaré le secrétaire adjoint au Trésor, Adewale Adeyemo. déclaration.
Parmi les autres sanctions américaines récentes contre les groupes menaçants chinois figurent :
- action contre Integrity Technology Group (Integrity Tech) pour avoir prétendument fourni l’infrastructure informatique que le groupe Flax Typhoon a utilisée dans ses opérations entre l’été 2022 et l’automne 2023 ;
- une action contre Sichuan Silence Information Technology et l’un de ses employés, Guan Tianfeng, pour leur implication présumée dans une cyberattaque mondiale en 2020 qui a exploité les vulnérabilités Zero Day des pare-feu ;
- contre Wuhan XRZ, une prétendue société écran du ministère de la Sécurité d’État (MSS) basée à Wuhan, en Chine, qui, selon les États-Unis, a servi de couverture à de multiples cyberopérations malveillantes.
Piqué par l’attaque Salt Typhoon, la compromission Volt Typhoon des réseaux informatiques des services américains de communication, de transport et d’eau, et le récent piratage du Trésor, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a monté la défense de ses actions.
Cette semaine, Jen Easterly, directrice de la CISA, a écrit sur son blog que « le cyberprogramme sophistiqué et bien doté en ressources de la Chine représente la cybermenace la plus sérieuse et la plus significative pour notre nation, et en particulier pour les infrastructures critiques américaines ».
Easterly, qui pourrait bientôt être remplacée par la nouvelle administration Trump au milieu des plaintes des républicains selon lesquelles son agence s’est davantage concentrée sur la lutte contre la désinformation que sur la protection des infrastructures critiques, a écrit qu’au cours des deux dernières années, la CISA et ses partenaires industriels ont été « concentrés au laser sur dissuader la cyber-agression de la Chine, en travaillant avec des entités d’infrastructures critiques à travers le pays pour identifier et expulser les cyber-acteurs chinois, qu’ils se concentrent sur l’espionnage – comme la récente campagne « Salt Typhoon » contre les sociétés de télécommunications américaines – ou sur la perturbation – le « Volt » Campagne Typhoon conçue pour perturber ou détruire nos infrastructures critiques les plus sensibles.
Elle a ajouté : « Alors que les cyber-acteurs de la RPC ont tenté d’échapper à la détection en utilisant des méthodes de subsistance de la terre – en cachant leur activité dans les processus natifs des systèmes d’exploitation informatiques – notre équipe de chasseurs de menaces de classe mondiale les a détectés et a aidé les partenaires d’infrastructures critiques à les expulser. eux. »
Selon FortiGuard Labs, Salt Typhoon, également connu des sociétés de cybersécurité sous les noms de UNC5807 (Mandiant), Earth Estrie (Trend Micro), FamousSparrow (ESET) et Ghost Emperor (Kaspersky), opère depuis 2019, poursuivant des cibles dans un nombre de pays et se concentre sur le vol d’informations et l’espionnage. L’une de ses tactiques privilégiées consiste à exploiter CVE 2021-26855, également connue sous le nom de ProxyLogon, une vulnérabilité de Microsoft Exchange Server qui permet à un attaquant de contourner l’authentification.
En novembre dernier, Trend Micro signalait que Salt Typhoon/Earth Estrie s’en prenait également aux instances non corrigées d’Ivanti Connect Secure VPN via CVE 2023-46805 et CVE 2024-21887.
Trend Micro a également découvert que ce groupe utilise une nouvelle porte dérobée. Surnommé GhostSpider, il a été découvert après des attaques contre des sociétés de télécommunications d’Asie du Sud-Est. Il s’agit d’une porte dérobée multimodulaire sophistiquée conçue avec plusieurs couches pour charger différents modules en fonction d’objectifs spécifiques. Cette porte dérobée communique avec son serveur de commande et de contrôle à l’aide d’un protocole personnalisé protégé par Transport Layer Security (TLS), garantissant une communication sécurisée.
Ce rapport de Trend Micro contient de nombreux détails sur cette porte dérobée et sur d’autres attaques que les RSSI et les professionnels de la sécurité de l’information pourraient trouver utiles.
