зеркало из
https://github.com/M82-project/M82-SiteWeb.git
synced 2025-10-29 13:06:05 +02:00
Update Volt.md
Этот коммит содержится в:
Principe Debase
GitHub
родитель
b85e5c9a8a
Коммит
e2ac3dd6ab
@ -1,41 +1,43 @@
|
||||
---
|
||||
title: Volt Typhoon
|
||||
date: 2023-06-18
|
||||
author: Lucien Lagarde
|
||||
---
|
||||
|
||||
Le 24 mai 2023, plusieurs agences étatiques américaines (dont la NSA, la
|
||||
CISA, le FBI), britanniques (NCSC), canadiennes (GCSB) et australiennes
|
||||
(ACSC, ASD) publiaient une Joint Cybersecurity Advisory au sujet d'un
|
||||
(ACSC, ASD) publiaient une *Joint Cybersecurity Advisory* au sujet d'un
|
||||
mode opératoire des attaquants (MOA) baptisé[Volt Typhoon](https://www.nytimes.com/2023/05/24/us/politics/china-guam-malware-cyber-microsoft.html)
|
||||
Cette publication est elle-même accompagnée d'un billet de blog de
|
||||
l'éditeur Microsoft détaillant les tactiques, techniques et procédures
|
||||
(TTPs) de ce [MOA](https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/)
|
||||
Actif depuis mi-2021, Volt Typhoon serait associé aux autorités
|
||||
Actif depuis mi-2021, *Volt Typhoon* serait associé aux autorités
|
||||
chinoises et se livrerait à des campagnes d'espionnage. La victimologie
|
||||
de ce mode opératoire apparait particulièrement large et en parfaite
|
||||
adéquation avec les centres d'intérêt de Pékin. Elle couvrirait le
|
||||
secteur des télécommunications, des services, des transports, les
|
||||
technologies de l'information, l'éducation, le maritime ainsi que les
|
||||
institutions gouvernementales. Dans son rapport, Microsoft met néanmoins
|
||||
l'emphase sur une campagne de Volt Typhoon qui ciblerait des
|
||||
l'emphase sur une campagne de *Volt Typhoon* qui ciblerait des
|
||||
infrastructures critiques à Guam et ailleurs aux États-Unis. Derrière
|
||||
une formulation prudente, l'éditeur américain suggère que ce MOA
|
||||
pourrait chercher à se prépositionner à des fins de sabotage
|
||||
[« Microsoft assesses with moderate confidence that this Volt Typhoon
|
||||
campaign is pursuing development of capabilities that could disrupt
|
||||
critical communications infrastructure between the United States and
|
||||
Asia region during future crises. »](https://www.cert.ssi.gouv.fr/cti/CERTFR-2021-CTI-012/})
|
||||
Asia region during future crises. »](https://www.cert.ssi.gouv.fr/cti/CERTFR-2021-CTI-012/)
|
||||
Ce n'est pas la première que la Chine est accusée de se livrer à des
|
||||
opérations de pré positionnement à des fins de sabotage. En 2021,
|
||||
Recorded Future rapportait ainsi que le mode opératoire RedEcho aurait
|
||||
Recorded Future rapportait ainsi que le mode opératoire *RedEcho* aurait
|
||||
visé plusieurs infrastructures critiques du réseau électrique indien.
|
||||
Dénuée d'intérêt économique, une telle campagne aurait ainsi eu pour
|
||||
objectif, selon Recorded Future, d'être en mesure de réaliser des
|
||||
coupures de courant. Une hypothèse crédible dès lors que cette opération
|
||||
intervenait dans le contexte de tensions dans certains territoires
|
||||
frontaliers disputés par les deux puissances
|
||||
<https://troopers.de/downloads/troopers22/TR22_TinkerTelcoSoldierSpy.pdf>
|
||||
frontaliers disputés par [les deux puissances]
|
||||
(https://troopers.de/downloads/troopers22/TR22_TinkerTelcoSoldierSpy.pdf)
|
||||
Peu discrète, cette campagne aurait alors pu être en réalité un
|
||||
avertissement à destination des [autorités>
|
||||
avertissement à destination des [autoritées
|
||||
indiennes](https://www.intrinsec.com/wp-content/uploads/2023/04/Intrinsec-TLP_White_report_-Final.pdf). La Chine aurait cependant continué à cibler le secteur de
|
||||
l'énergie indien en 2022, utilisant notamment des objets connectés
|
||||
compromit comme serveurs de commande et de contrôle (C2) et aurait
|
||||
@ -43,9 +45,9 @@ utilisé à cette même fin l'outil légitime [FastReverseProxy](https://www.mic
|
||||
En avril 2020, un acteur, associé à la Chine par l'éditeur de solution
|
||||
de cybersécurité Cycraft Technology, se serait, quant à lui, livré à des
|
||||
opérations de sabotage d'infrastructures vitales à Taiwan, en marge de
|
||||
l'inauguration du mandat du nouveau Président taiwanais, peu favorable à
|
||||
Pékin
|
||||
<https://medium.com/cycraft/china-linked-threat-group-targets-taiwan-critical-infrastructure-smokescreen-ransomware-c2a155aa53d5>
|
||||
l'inauguration du mandat du nouveau Président taiwanais, [peu favorable à
|
||||
Pékin]
|
||||
(https://medium.com/cycraft/china-linked-threat-group-targets-taiwan-critical-infrastructure-smokescreen-ransomware-c2a155aa53d5)
|
||||
Cette opération de sabotage avait néanmoins été déguisée en attaque par
|
||||
rançongiciel, suggérant une volonté de ses auteurs de brouiller les
|
||||
pistes et d'éviter une attribution trop simple de cette campagne.
|
||||
@ -60,17 +62,17 @@ effet une pièce maitresse du
|
||||
majeur. Comme le rapporte le New York Times, Guam serait en particulier
|
||||
au centre de toute [réponse américaine en cas d'invasion de Taiwan](https://media.defense.gov/2023/May/24/2003229517/-1/-1/0/CSA_Living_off_the_Land.PDF).
|
||||
Au-delà de la possible finalité de ses campagnes, ce sont les TTPs de
|
||||
Volt Typhoon qui interpellent. En effet, ce mode opératoire semble
|
||||
*Volt Typhoon* qui interpellent. En effet, ce mode opératoire semble
|
||||
chercher à rester discret au maximum. En témoigne par exemple
|
||||
l'utilisation de techniques dites Living off the land, c'est-à-dire
|
||||
l'utilisation de techniques dites *Living off the land*, c'est-à-dire
|
||||
l'utilisation d'outils et solutions légitimes déjà présents sur le
|
||||
système d'information compromis, et non de codes malveillants
|
||||
<https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/> déployés
|
||||
système d'information compromis, et non de [codes malveillants]
|
||||
(https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/) déployés
|
||||
pour l'occasion.
|
||||
|
||||
En outre, Volt Typhoon aurait également utilisé des routeurs
|
||||
d'entreprises et de particuliers (SOHO, pour Small Office/Home Office)
|
||||
comme Operation relay boxes (ORBs) afin de communiquer avec son
|
||||
En outre, *Volt Typhoon* aurait également utilisé des routeurs
|
||||
d'entreprises et de particuliers (SOHO, pour *Small Office/Home Office*)
|
||||
comme *Operation relay boxes* (ORBs) afin de communiquer avec son
|
||||
infrastructure d'attaque. Cette technique permet, entre autres, à un
|
||||
attaquant de réduire la probabilité d'être détecté, notamment en
|
||||
utilisant des routeurs situés dans l'aire géographique de sa cible ;
|
||||
@ -80,11 +82,10 @@ grandissante chez les acteurs associés à la Chine, en témoignent les cas
|
||||
[d'APT31](https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/})
|
||||
ou de
|
||||
[Red Menshen](https://www.recordedfuture.com/redecho-targeting-indian-power-sector). Cette technique fut d'ailleurs utilisée lors de la campagne
|
||||
précitée ciblant le grid indien, tout comme l'utilisation de l'outil
|
||||
légitime FastReverseProxy. Difficile néanmoins d'en tirer de réelle
|
||||
conclusion en matière d'imputation tant les modes opératoires associés à
|
||||
la [Chine](
|
||||
\href{<https://www.nytimes.com/2021/02/28/us/politics/china-india-hacking-electricity.html)
|
||||
précitée ciblant le *grid* indien, tout comme l'utilisation de l'outil
|
||||
légitime *FastReverseProxy*. Difficile néanmoins d'en tirer de réelles
|
||||
conclusions en matière d'imputation tant les modes opératoires associés à
|
||||
la [Chine](https://www.nytimes.com/2021/02/28/us/politics/china-india-hacking-electricity.html)
|
||||
sont adeptes du partage de TTPs, d'outil et d'infrastructure}.Discret au
|
||||
moment de l'accès initial et dans le choix de son infrastructure, les
|
||||
opérateurs de Volt Typhoon le semblent cependant beaucoup moins dans
|
||||
@ -96,7 +97,7 @@ conducting hands-on-keyboard activity via the command line. Some of
|
||||
these commands appear to be exploratory or experimental, as the
|
||||
operators adjust and repeat them multiple times"](https://www.recordedfuture.com/continued-targeting-of-indian-power-grid-assets)
|
||||
|
||||
En outre, les commandes exécutées par Volt Typhoon apparaissent
|
||||
En outre, les commandes exécutées par *Volt Typhoon* apparaissent
|
||||
particulièrement bruyantes :
|
||||
Un tel manque de discrétion au moment de la post-exploitation n'est pas
|
||||
rare chez les opérateurs de modes opératoires associés à la Chine.
|
||||
@ -118,11 +119,11 @@ encore, plusieurs explications sont possibles : s'agissait-il d'envoyer
|
||||
un message à Washington ? Est-ce réellement une opération de
|
||||
prépositionnement qui est décrite dans ce rapport de Microsoft ?
|
||||
Plusieurs questions restent ainsi en suspens, et la faible littérature
|
||||
disponible en sources ouvertes sur Volt Typhoon ne permet d'y apporter
|
||||
disponible en sources ouvertes sur *Volt Typhoon* ne permet d'y apporter
|
||||
de réponse pour l'instant.
|
||||
La menace dans le cyberespace est souvent décrite comme des capacités au
|
||||
service d'une intention et qui exploitent une ou des opportunités. S'il
|
||||
ne fait guère de doute - à l'aune de ces publications sur Volt Typhoon
|
||||
ne fait guère de doute - à l'aune de ces publications sur *Volt Typhoon*
|
||||
et plus généralement sur la lutte informatique chinoise - que Pékin
|
||||
dispose de capacités suffisamment avancées pour pouvoir se livrer à des
|
||||
opérations de sabotage, et que de nombreuses opportunités sont
|
||||
|
||||
Загрузка…
x
Ссылка в новой задаче
Block a user