locsec/M82-SiteWeb
1
Форкнуть 0
зеркало из https://github.com/M82-project/M82-SiteWeb.git synced 2025-10-30 05:26:06 +02:00
Код Задачи Пакеты Проекты Релизы Вики Активность

Update Volt.md

Просмотр исходного кода
Этот коммит содержится в:
Principe Debase 2024-02-19 21:03:32 +01:00 коммит произвёл GitHub
родитель b85e5c9a8a
Коммит e2ac3dd6ab
Не найден ключ, соответствующий данной подписи
Идентификатор ключа GPG: B5690EEEBB952194
1 изменённых файлов: 27 добавлений и 26 удалений
Показать статистику Скачать Patch файл Скачать Diff файл Показать все файлы Свернуть все файлы

53
content/articles/Volt_Typhoon/Volt.md
Просмотреть файл

@ -1,41 +1,43 @@
--- ---
title: Volt Typhoon title: Volt Typhoon
date: 2023-06-18
author: Lucien Lagarde
--- ---
Le 24 mai 2023, plusieurs agences étatiques américaines (dont la NSA, la Le 24 mai 2023, plusieurs agences étatiques américaines (dont la NSA, la
CISA, le FBI), britanniques (NCSC), canadiennes (GCSB) et australiennes CISA, le FBI), britanniques (NCSC), canadiennes (GCSB) et australiennes
(ACSC, ASD) publiaient une Joint Cybersecurity Advisory au sujet d'un (ACSC, ASD) publiaient une *Joint Cybersecurity Advisory* au sujet d'un
mode opératoire des attaquants (MOA) baptisé[Volt Typhoon](https://www.nytimes.com/2023/05/24/us/politics/china-guam-malware-cyber-microsoft.html) mode opératoire des attaquants (MOA) baptisé[Volt Typhoon](https://www.nytimes.com/2023/05/24/us/politics/china-guam-malware-cyber-microsoft.html)
Cette publication est elle-même accompagnée d'un billet de blog de Cette publication est elle-même accompagnée d'un billet de blog de
l'éditeur Microsoft détaillant les tactiques, techniques et procédures l'éditeur Microsoft détaillant les tactiques, techniques et procédures
(TTPs) de ce [MOA](https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/) (TTPs) de ce [MOA](https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/)
Actif depuis mi-2021, Volt Typhoon serait associé aux autorités Actif depuis mi-2021, *Volt Typhoon* serait associé aux autorités
chinoises et se livrerait à des campagnes d'espionnage. La victimologie chinoises et se livrerait à des campagnes d'espionnage. La victimologie
de ce mode opératoire apparait particulièrement large et en parfaite de ce mode opératoire apparait particulièrement large et en parfaite
adéquation avec les centres d'intérêt de Pékin. Elle couvrirait le adéquation avec les centres d'intérêt de Pékin. Elle couvrirait le
secteur des télécommunications, des services, des transports, les secteur des télécommunications, des services, des transports, les
technologies de l'information, l'éducation, le maritime ainsi que les technologies de l'information, l'éducation, le maritime ainsi que les
institutions gouvernementales. Dans son rapport, Microsoft met néanmoins institutions gouvernementales. Dans son rapport, Microsoft met néanmoins
l'emphase sur une campagne de Volt Typhoon qui ciblerait des l'emphase sur une campagne de *Volt Typhoon* qui ciblerait des
infrastructures critiques à Guam et ailleurs aux États-Unis. Derrière infrastructures critiques à Guam et ailleurs aux États-Unis. Derrière
une formulation prudente, l'éditeur américain suggère que ce MOA une formulation prudente, l'éditeur américain suggère que ce MOA
pourrait chercher à se prépositionner à des fins de sabotage pourrait chercher à se prépositionner à des fins de sabotage
[« Microsoft assesses with moderate confidence that this Volt Typhoon [« Microsoft assesses with moderate confidence that this Volt Typhoon
campaign is pursuing development of capabilities that could disrupt campaign is pursuing development of capabilities that could disrupt
critical communications infrastructure between the United States and critical communications infrastructure between the United States and
Asia region during future crises. »](https://www.cert.ssi.gouv.fr/cti/CERTFR-2021-CTI-012/}) Asia region during future crises. »](https://www.cert.ssi.gouv.fr/cti/CERTFR-2021-CTI-012/)
Ce n'est pas la première que la Chine est accusée de se livrer à des Ce n'est pas la première que la Chine est accusée de se livrer à des
opérations de pré positionnement à des fins de sabotage. En 2021, opérations de pré positionnement à des fins de sabotage. En 2021,
Recorded Future rapportait ainsi que le mode opératoire RedEcho aurait Recorded Future rapportait ainsi que le mode opératoire *RedEcho* aurait
visé plusieurs infrastructures critiques du réseau électrique indien. visé plusieurs infrastructures critiques du réseau électrique indien.
Dénuée d'intérêt économique, une telle campagne aurait ainsi eu pour Dénuée d'intérêt économique, une telle campagne aurait ainsi eu pour
objectif, selon Recorded Future, d'être en mesure de réaliser des objectif, selon Recorded Future, d'être en mesure de réaliser des
coupures de courant. Une hypothèse crédible dès lors que cette opération coupures de courant. Une hypothèse crédible dès lors que cette opération
intervenait dans le contexte de tensions dans certains territoires intervenait dans le contexte de tensions dans certains territoires
frontaliers disputés par les deux puissances frontaliers disputés par [les deux puissances]
<https://troopers.de/downloads/troopers22/TR22_TinkerTelcoSoldierSpy.pdf> (https://troopers.de/downloads/troopers22/TR22_TinkerTelcoSoldierSpy.pdf)
Peu discrète, cette campagne aurait alors pu être en réalité un Peu discrète, cette campagne aurait alors pu être en réalité un
avertissement à destination des [autorités> avertissement à destination des [autoritées
indiennes](https://www.intrinsec.com/wp-content/uploads/2023/04/Intrinsec-TLP_White_report_-Final.pdf). La Chine aurait cependant continué à cibler le secteur de indiennes](https://www.intrinsec.com/wp-content/uploads/2023/04/Intrinsec-TLP_White_report_-Final.pdf). La Chine aurait cependant continué à cibler le secteur de
l'énergie indien en 2022, utilisant notamment des objets connectés l'énergie indien en 2022, utilisant notamment des objets connectés
compromit comme serveurs de commande et de contrôle (C2) et aurait compromit comme serveurs de commande et de contrôle (C2) et aurait
@ -43,9 +45,9 @@ utilisé à cette même fin l'outil légitime [FastReverseProxy](https://www.mic
En avril 2020, un acteur, associé à la Chine par l'éditeur de solution En avril 2020, un acteur, associé à la Chine par l'éditeur de solution
de cybersécurité Cycraft Technology, se serait, quant à lui, livré à des de cybersécurité Cycraft Technology, se serait, quant à lui, livré à des
opérations de sabotage d'infrastructures vitales à Taiwan, en marge de opérations de sabotage d'infrastructures vitales à Taiwan, en marge de
l'inauguration du mandat du nouveau Président taiwanais, peu favorable à l'inauguration du mandat du nouveau Président taiwanais, [peu favorable à
Pékin Pékin]
<https://medium.com/cycraft/china-linked-threat-group-targets-taiwan-critical-infrastructure-smokescreen-ransomware-c2a155aa53d5> (https://medium.com/cycraft/china-linked-threat-group-targets-taiwan-critical-infrastructure-smokescreen-ransomware-c2a155aa53d5)
Cette opération de sabotage avait néanmoins été déguisée en attaque par Cette opération de sabotage avait néanmoins été déguisée en attaque par
rançongiciel, suggérant une volonté de ses auteurs de brouiller les rançongiciel, suggérant une volonté de ses auteurs de brouiller les
pistes et d'éviter une attribution trop simple de cette campagne. pistes et d'éviter une attribution trop simple de cette campagne.
@ -60,17 +62,17 @@ effet une pièce maitresse du
majeur. Comme le rapporte le New York Times, Guam serait en particulier majeur. Comme le rapporte le New York Times, Guam serait en particulier
au centre de toute [réponse américaine en cas d'invasion de Taiwan](https://media.defense.gov/2023/May/24/2003229517/-1/-1/0/CSA_Living_off_the_Land.PDF). au centre de toute [réponse américaine en cas d'invasion de Taiwan](https://media.defense.gov/2023/May/24/2003229517/-1/-1/0/CSA_Living_off_the_Land.PDF).
Au-delà de la possible finalité de ses campagnes, ce sont les TTPs de Au-delà de la possible finalité de ses campagnes, ce sont les TTPs de
Volt Typhoon qui interpellent. En effet, ce mode opératoire semble *Volt Typhoon* qui interpellent. En effet, ce mode opératoire semble
chercher à rester discret au maximum. En témoigne par exemple chercher à rester discret au maximum. En témoigne par exemple
l'utilisation de techniques dites Living off the land, c'est-à-dire l'utilisation de techniques dites *Living off the land*, c'est-à-dire
l'utilisation d'outils et solutions légitimes déjà présents sur le l'utilisation d'outils et solutions légitimes déjà présents sur le
système d'information compromis, et non de codes malveillants système d'information compromis, et non de [codes malveillants]
<https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/> déployés (https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/) déployés
pour l'occasion. pour l'occasion.
En outre, Volt Typhoon aurait également utilisé des routeurs En outre, *Volt Typhoon* aurait également utilisé des routeurs
d'entreprises et de particuliers (SOHO, pour Small Office/Home Office) d'entreprises et de particuliers (SOHO, pour *Small Office/Home Office*)
comme Operation relay boxes (ORBs) afin de communiquer avec son comme *Operation relay boxes* (ORBs) afin de communiquer avec son
infrastructure d'attaque. Cette technique permet, entre autres, à un infrastructure d'attaque. Cette technique permet, entre autres, à un
attaquant de réduire la probabilité d'être détecté, notamment en attaquant de réduire la probabilité d'être détecté, notamment en
utilisant des routeurs situés dans l'aire géographique de sa cible ; utilisant des routeurs situés dans l'aire géographique de sa cible ;
@ -80,11 +82,10 @@ grandissante chez les acteurs associés à la Chine, en témoignent les cas
[d'APT31](https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/}) [d'APT31](https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/})
ou de ou de
[Red Menshen](https://www.recordedfuture.com/redecho-targeting-indian-power-sector). Cette technique fut d'ailleurs utilisée lors de la campagne [Red Menshen](https://www.recordedfuture.com/redecho-targeting-indian-power-sector). Cette technique fut d'ailleurs utilisée lors de la campagne
précitée ciblant le grid indien, tout comme l'utilisation de l'outil précitée ciblant le *grid* indien, tout comme l'utilisation de l'outil
légitime FastReverseProxy. Difficile néanmoins d'en tirer de réelle légitime *FastReverseProxy*. Difficile néanmoins d'en tirer de réelles
conclusion en matière d'imputation tant les modes opératoires associés à conclusions en matière d'imputation tant les modes opératoires associés à
la [Chine]( la [Chine](https://www.nytimes.com/2021/02/28/us/politics/china-india-hacking-electricity.html)
\href{<https://www.nytimes.com/2021/02/28/us/politics/china-india-hacking-electricity.html)
sont adeptes du partage de TTPs, d'outil et d'infrastructure}.Discret au sont adeptes du partage de TTPs, d'outil et d'infrastructure}.Discret au
moment de l'accès initial et dans le choix de son infrastructure, les moment de l'accès initial et dans le choix de son infrastructure, les
opérateurs de Volt Typhoon le semblent cependant beaucoup moins dans opérateurs de Volt Typhoon le semblent cependant beaucoup moins dans
@ -96,7 +97,7 @@ conducting hands-on-keyboard activity via the command line. Some of
these commands appear to be exploratory or experimental, as the these commands appear to be exploratory or experimental, as the
operators adjust and repeat them multiple times"](https://www.recordedfuture.com/continued-targeting-of-indian-power-grid-assets) operators adjust and repeat them multiple times"](https://www.recordedfuture.com/continued-targeting-of-indian-power-grid-assets)
En outre, les commandes exécutées par Volt Typhoon apparaissent En outre, les commandes exécutées par *Volt Typhoon* apparaissent
particulièrement bruyantes : particulièrement bruyantes :
Un tel manque de discrétion au moment de la post-exploitation n'est pas Un tel manque de discrétion au moment de la post-exploitation n'est pas
rare chez les opérateurs de modes opératoires associés à la Chine. rare chez les opérateurs de modes opératoires associés à la Chine.
@ -118,11 +119,11 @@ encore, plusieurs explications sont possibles : s'agissait-il d'envoyer
un message à Washington ? Est-ce réellement une opération de un message à Washington ? Est-ce réellement une opération de
prépositionnement qui est décrite dans ce rapport de Microsoft ? prépositionnement qui est décrite dans ce rapport de Microsoft ?
Plusieurs questions restent ainsi en suspens, et la faible littérature Plusieurs questions restent ainsi en suspens, et la faible littérature
disponible en sources ouvertes sur Volt Typhoon ne permet d'y apporter disponible en sources ouvertes sur *Volt Typhoon* ne permet d'y apporter
de réponse pour l'instant. de réponse pour l'instant.
La menace dans le cyberespace est souvent décrite comme des capacités au La menace dans le cyberespace est souvent décrite comme des capacités au
service d'une intention et qui exploitent une ou des opportunités. S'il service d'une intention et qui exploitent une ou des opportunités. S'il
ne fait guère de doute - à l'aune de ces publications sur Volt Typhoon ne fait guère de doute - à l'aune de ces publications sur *Volt Typhoon*
et plus généralement sur la lutte informatique chinoise - que Pékin et plus généralement sur la lutte informatique chinoise - que Pékin
dispose de capacités suffisamment avancées pour pouvoir se livrer à des dispose de capacités suffisamment avancées pour pouvoir se livrer à des
opérations de sabotage, et que de nombreuses opportunités sont opérations de sabotage, et que de nombreuses opportunités sont