зеркало из
https://github.com/M82-project/M82-SiteWeb.git
synced 2025-10-29 21:16:10 +02:00
BartM82
GitHub
Коммит
f52aa06a81
@ -3,18 +3,20 @@ draft: false
|
||||
cascade:
|
||||
featured_image: 'images/banniere-site.png'
|
||||
---
|
||||
# Présentation du M82_Project
|
||||
## Présentation du M82_Project
|
||||
|
||||
<div style="text-align: right">
|
||||
|
||||
M82_Project, a pour objet principal de faciliter la compréhension et la prise en compte des enjeux liés à la sécurité numérique et favoriser la circulation des connaissances pluridisciplinaires. Elle a pour objet de constituer, animer et développer un réseau d’acteurs et d’experts du domaine de la cybersécurité, cyberdéfense et de la lutte contre la manipulation de l’information. M82 vise en particulier à la sensibilisation du public, des décideurs et des responsables publics ou privés. Elle regroupe des expertises variées et propose des analyses, rapports, évènements, séminaires, rencontres, etc. Afin de contribuer à la réflexion autour des thèmes liés à la cybersécurité, aux cyberconflictualités, la manipulation de l’information et la cybercriminalité.
|
||||
|
||||
L’activité du M82_project poursuit ainsi des objectifs suivants :
|
||||
|
||||
- De veille des domaines d’intérêt : elle propose une veille technique et scientifique, et en assure la capitalisation ainsi que le partage de ressources d’intérêt ;
|
||||
- de veille des domaines d’intérêt. Elle propose une veille technique et scientifique et en assure la capitalisation ainsi que le partage de ressources d’intérêt.
|
||||
|
||||
- De recherche et conseil en produisant des notes, analyses et documents (sous tous supports) dans le cadre de projets thématiques mais également par l’analyse de besoin, la recherche de financement, la réponse à appel d’offre national ou international, la mise à disposition de moyens propres ou fournis par ses membres (plate-formes, outils, documentation), la constitution d’une structure ad-hoc (groupement d’intérêt scientifique, consortium, partenariat, etc). M82 peut porter des projets de recherche en son nom ;
|
||||
- De recherche et conseil en produisant des notes, analyses et documents (sous tous supports) dans le cadre de projets thématiques mais également par l’analyse de besoin, la recherche de financement, la réponse à appel d’offre national ou international, la mise à disposition de moyens propres ou fournis par ses membres (plate-formes, outils, documentation), la constitution d’une structure ad-hoc (groupement d’intérêt scientifique, consortium, partenariat, etc). M82 peut porter des projets de recherche en son nom.
|
||||
|
||||
- D’animation de réseau et de diffusion de la connaissance et de l’expertise : M82 participe à des événements en France ou à l’étranger, elle peut en organiser, contribuer à des publications en France ou à l’étranger, ou peut en éditer, et conduire des actions de sensibilisation ou d’appui à la décision.
|
||||
|
||||
</div>
|
||||
|
||||
---
|
||||
|
||||
@ -19,8 +19,7 @@ tels que le rôle primordial de la cyberdéfense (la meilleure défense...
|
||||
c'est bien la défense) et le rôle prépondérant des agences de
|
||||
renseignement techniques pour la maîtrise et l'emploi de l'arme cyber.
|
||||
|
||||
|
||||
|
||||
|
||||
|
||||
Dans un monde où la perception de l'arme cyber a basculé en 2010, pour
|
||||
devenir une arme d'emploi avec le ver Stuxnet, Eviatar s'attache à
|
||||
@ -34,4 +33,4 @@ systèmes, la développement de la résilience et de la défense nationale
|
||||
mais qui prennent plus de sens au travers de l'expérience de l'auteur.
|
||||
|
||||
Découvrez l'intégralité de
|
||||
[la conférence est ici](https://youtu.be/MEaIojimLJ)
|
||||
[la conférence ici](https://youtu.be/MEaIojimLJ)
|
||||
|
||||
@ -8,7 +8,7 @@ publié un article décrivant plusieurs campagnes d'influences semble-t-il
|
||||
d'origine chinoise, visant les États-Unis. Les éléments relevés
|
||||
décrivaient trois narratifs différents portés par le même acteur.
|
||||
|
||||
Cet acteur, Dragonbridge, a été observé dès 2019 par Mandiant qui a
|
||||
Cet acteur, *Dragonbridge*, a été observé dès 2019 par Mandiant qui a
|
||||
constaté de nombreuses campagnes d'influence portées par ce réseau de
|
||||
milliers de comptes présents sur de nombreux réseaux sociaux et canaux
|
||||
de communication. Si, au départ, ce groupe a surtout mené des campagnes
|
||||
@ -18,41 +18,41 @@ comptes de réseaux sociaux pour lancer des campagnes de dénigrement
|
||||
envers des entreprises d'exploitation de terres rares, canadiennes,
|
||||
australiennes et américaines.
|
||||
|
||||
Dragonbridge a porté, cette fois-ci, trois narratifs spécifiques :
|
||||
*Dragonbridge* a porté, cette fois-ci, trois narratifs spécifiques :
|
||||
|
||||
tout d'abord, il a réattribué aux États-Unis, une campagne APT,
|
||||
* tout d'abord, il a réattribué aux États-Unis, une campagne APT,
|
||||
normalement attribuée à un acteur proche de l'État chinois. En effet, en
|
||||
2020, pendant la pandémie, un groupe nommé APT 41 (Advanced Persistant
|
||||
Threat) avait mis en place une très large campagne de cyber-espionnage ;
|
||||
|
||||
il a également poussé des narratifs visant à discréditer le système
|
||||
* il a également poussé des narratifs visant à discréditer le système
|
||||
électoral américain en vue des midterms ;
|
||||
|
||||
enfin, il allègue que l'explosion du pipeline NordStream 2 serait dû aux
|
||||
* enfin, il allègue que l'explosion du pipeline *NordStream 2* serait dû aux
|
||||
États-Unis.
|
||||
|
||||
La publication de Mandiant revient ensuite sur toutes les tactiques,
|
||||
techniques et procédures (TTPs) utilisées par Dragonbridge pour pousser
|
||||
techniques et procédures (TTPs) utilisées par *Dragonbridge* pour pousser
|
||||
ces narratifs, en souligne à quel point ceux-ci sont innovants (cf. le
|
||||
titre de l'article : « Pro-PRC DRAGONBRIDGE Influence Campaign Leverages
|
||||
titre de l'article : « *Pro-PRC DRAGONBRIDGE Influence Campaign Leverages
|
||||
New TTPs to Aggressively Target U.S. Interests, Including Midterm
|
||||
Elections »).
|
||||
Elections* »).
|
||||
|
||||
Cependant, lorsque l'on étudie ces tactiques, techniques et procédures à
|
||||
l'aune de la matrice Disarm on se rend compte que, même s'ils peuvent
|
||||
être nouveaux dans le cadre de leur exploitation par Dragonbridge, tous
|
||||
les éléments sont déjà présents dans Disarm.
|
||||
être nouveaux dans le cadre de leur exploitation par *Dragonbridge*, tous
|
||||
les éléments sont déjà présents dans DISARM.
|
||||
|
||||
Disarm est une matrice open-source basée sur le comportement des acteurs
|
||||
DISARM est une matrice open-source basée sur le comportement des acteurs
|
||||
malveillants qui permet de visualiser et de traduire une campagne
|
||||
d'influence sous la forme de TTPs. Cette traduction permet, à l'instar
|
||||
de la matrice MITRE ATT&CK utilisée dans le cadre de la Cyber Threat
|
||||
Intelligence (CTI, collecte et capitalisation de renseignements sur les
|
||||
de la matrice MITRE ATT&CK utilisée dans le cadre de la *Cyber Threat
|
||||
Intelligence* (CTI, collecte et capitalisation de renseignements sur les
|
||||
campagnes d'attaques cyber) d'enregistrer ces éléments et d'alimenter
|
||||
des outils d'archivage et d'exploitation de type MISP ou bien encore
|
||||
OpenCTI.
|
||||
|
||||
La matrice Disarm présente de nombreux intérêts dans la description de
|
||||
La matrice DISARM présente de nombreux intérêts dans la description de
|
||||
campagnes d'influence ou d'opérations informationnelles. La description
|
||||
des TTPs permet de mesurer, dans un premier temps, le niveau d'effort
|
||||
que l'acteur consent dans une campagne en cours ou qu'il cherche à
|
||||
@ -83,13 +83,13 @@ reviennent.
|
||||
Ci-dessous les différentes TTPs relevées par Mandiant dans son article
|
||||
et traduites dans la matrice Disarm.
|
||||
|
||||
TTPs : TA13 T0072.005
|
||||
**TTPs : TA13 T0072.005**
|
||||
|
||||
Nom : Target audience analysis Political segmentation
|
||||
Nom : *Target audience analysis Political segmentation*
|
||||
|
||||
Extrait de l'article : « Aggressively targeting the United States by
|
||||
Extrait de l'article : « *Aggressively targeting the United States by
|
||||
seeking to sow division both between the U.S. and its allies and within
|
||||
the U.S. political system itself »
|
||||
the U.S. political system itself* »
|
||||
|
||||
Cibler les États-Unis de manière agressive en cherchant à semer la
|
||||
division tant entre les États-Unis et leurs alliés qu'au sein même du
|
||||
@ -99,29 +99,29 @@ s'appuie sur des narratifs comme « Le vote ne soignera pas la maladie
|
||||
dont souffre les États-Unis ; le système législatif américain est
|
||||
inefficace. »
|
||||
|
||||
TTPs : TA14 T0068
|
||||
**TTPs : TA14 T0068**
|
||||
|
||||
Nom : Respond to breaking news event or active crisis
|
||||
Nom : *Respond to breaking news event or active crisis*
|
||||
|
||||
Extrait : « Allegations that the U.S. was responsible for the Nord
|
||||
Stream gas pipeline explosions.
|
||||
Extrait : « *Allegations that the U.S. was responsible for the Nord
|
||||
Stream gas pipeline explosions*.
|
||||
|
||||
DRAGONBRIDGE's messaging mirrored Russian President Vladimir Putin's
|
||||
statements that the U.S. had sabotaged the pipelines ».
|
||||
* *DRAGONBRIDGE's messaging mirrored Russian President Vladimir Putin's
|
||||
statements that the U.S. had sabotaged the pipelines* ».
|
||||
|
||||
Proclamer que les États-Unis sont responsables des explosions du gazoduc
|
||||
Nord Stream.
|
||||
*Nord Stream*.
|
||||
|
||||
Le message de DRAGONBRIDGE reflète les déclarations du président russe
|
||||
Le message de Dragonbridge reflète les déclarations du président russe
|
||||
Vladimir Poutine selon lesquelles les États-Unis auraient saboté les
|
||||
pipelines.
|
||||
|
||||
TTPs : TA14 T0083
|
||||
**TTPs : TA14 T0083**
|
||||
|
||||
Nom : Integrate target audiance vulnerabilities into narrative
|
||||
Nom : *Integrate target audiance vulnerabilities into narrative*
|
||||
|
||||
Extrait : « Discredit the U.S. democratic process, including attempts to
|
||||
discourage Americans from voting in the 2022 U.S. midterm elections. »
|
||||
Extrait : « *Discredit the U.S. democratic process, including attempts to
|
||||
discourage Americans from voting in the 2022 U.S. midterm elections.* »
|
||||
|
||||
Discréditer le processus démocratique américain, notamment en tentant de
|
||||
décourager les Américains de voter lors des élections de mi-mandat de
|
||||
@ -129,37 +129,37 @@ décourager les Américains de voter lors des élections de mi-mandat de
|
||||
serait en train de se détériorer, deviendrait inefficace, que la société
|
||||
serait fondamentalement divisée.
|
||||
|
||||
TTPs : TA06 T0019.002
|
||||
**TTPs : TA06 T0019.002**
|
||||
|
||||
Nom : Hijack hashtags
|
||||
Nom : *Hijack hashtags*
|
||||
|
||||
Extrait : « Accounts also used the hashtags #AllRoadsLeadToChengdu or
|
||||
Extrait : « *Accounts also used the hashtags #AllRoadsLeadToChengdu or
|
||||
#Chengdu404, which were used by the legitimate Intrusion Truth regarding
|
||||
APT41 ».
|
||||
APT41* ».
|
||||
|
||||
Réutiliser un \# employé par Intrusion Truth pour attribuer APT41 à la
|
||||
Chine et l'exploiter en disant que ce sont, en fait, les États-Unis qui
|
||||
sont derrière ce groupe.
|
||||
|
||||
TTPs : TA06 T0023
|
||||
**TTPs : TA06 T0023**
|
||||
|
||||
Nom : Distort facts
|
||||
Nom : *Distort facts*
|
||||
|
||||
Extrait : « Claims that the China-nexus threat group APT41 is instead a
|
||||
U.S. government-backed actor »
|
||||
Extrait : « *Claims that the China-nexus threat group APT41 is instead a
|
||||
U.S. government-backed actor* »
|
||||
|
||||
Affirmer que le groupe de menace APT41, lié à la Chine, est un acteur
|
||||
soutenu par le gouvernement américain.
|
||||
|
||||
TTPs : TA06 T0087 & TA07 T0105.002 & TA17 T0119
|
||||
**TTPs : TA06 T0087 & TA07 T0105.002 & TA17 T0119**
|
||||
|
||||
Nom : Develop Video-based Content & Video Sharing & Cross-posting
|
||||
Nom : *Develop Video-based Content & Video Sharing & Cross-posting*
|
||||
|
||||
Extrait : « DRAGONBRIDGE accounts posted an English-language video
|
||||
Extrait : « *Dragonbridge accounts posted an English-language video
|
||||
across multiple platforms containing content attempting to discourage
|
||||
Americans from voting in the upcoming U.S. midterm elections »
|
||||
Americans from voting in the upcoming U.S. midterm elections* »
|
||||
|
||||
Des comptes DRAGONBRIDGE ont publié une vidéo en anglais sur plusieurs
|
||||
Des comptes Dragonbridge ont publié une vidéo en anglais sur plusieurs
|
||||
plateformes. Le contenu de cette vidéo vise à décourager les Américains
|
||||
de voter lors des prochaines élections de mi-mandat aux États-Unis.
|
||||
|
||||
@ -174,104 +174,93 @@ de se poser la question des différents intervenants dans une campagne.
|
||||
En effet, la fabrication de la vidéo a sûrement été externalisée à une
|
||||
entreprise tierce.
|
||||
|
||||
TTPs : TA06 T0089.002
|
||||
**TTPs : TA06 T0089.002**
|
||||
|
||||
Nom : Create inauthentic documents
|
||||
Nom : *Create inauthentic documents*
|
||||
|
||||
Extrait : « While we have previously observed DRAGONBRIDGE themes
|
||||
Extrait : « *While we have previously observed DRAGONBRIDGE themes
|
||||
involving alleged malicious U.S. cyber activity, fabrications regarding
|
||||
APT41 as American in origin appears to be an escalation in the degree of
|
||||
implied U.S. operations. »
|
||||
implied U.S. operations.* »
|
||||
|
||||
Créer des preuves attribuant de manière fallacieuse l'APT 41 aux
|
||||
États-Unis.
|
||||
|
||||
TTPs : TA06 T0089.003
|
||||
**TTPs : TA06 T0089.003**
|
||||
|
||||
Nom : Alter authentic documents
|
||||
Nom : *Alter authentic documents*
|
||||
|
||||
Extrait : « Plagiarism and Alteration of News Articles »
|
||||
Extrait : « *Plagiarism and Alteration of News Articles* »
|
||||
|
||||
Plagiat et altération d'articles d'actualité : plagier des articles et
|
||||
des tweets existants, originellement publiés par Intrusion Truth.
|
||||
|
||||
TTPs : TA16 T0090
|
||||
**TTPs : TA16 T0090**
|
||||
|
||||
Nom : Create inauthentic accounts
|
||||
Nom : *Create inauthentic accounts*
|
||||
|
||||
Extrait :
|
||||
Extrait :
|
||||
* « *Accounts' use of profile photos appropriated from various online sources, including stock photography.*
|
||||
|
||||
« Accounts' use of profile photos appropriated from various online
|
||||
sources, including stock photography.
|
||||
* *Suggesting that they sought to obfuscate their identities.*
|
||||
|
||||
Suggesting that they sought to obfuscate their identities.
|
||||
* *Clustering of their creation dates.*
|
||||
|
||||
Clustering of their creation dates.
|
||||
* *Suggesting possible batch creation.*
|
||||
|
||||
Suggesting possible batch creation.
|
||||
* *Similar patterns in usernames consisting of English-language names,
|
||||
followed by seemingly random numeric strings.*
|
||||
|
||||
Similar patterns in usernames consisting of English-language names,
|
||||
followed by seemingly random numeric strings.
|
||||
* *Many accounts posting similar or identical content* »
|
||||
|
||||
Many accounts posting similar or identical content »
|
||||
|
||||
Utilisation par les comptes de photos de profil provenant de diverses
|
||||
* Utilisation par les comptes de photos de profil provenant de diverses
|
||||
sources en ligne, y compris de photographies de stock suggérant qu'ils
|
||||
ont cherché à dissimuler leur identité.
|
||||
|
||||
Regroupement de leurs dates de création suggérant une possible création
|
||||
* Regroupement de leurs dates de création suggérant une possible création
|
||||
par lots.
|
||||
|
||||
Schémas similaires dans les noms d'utilisateur, composés de noms en
|
||||
* Schémas similaires dans les noms d'utilisateur, composés de noms en
|
||||
langue anglaise, suivis de chaînes numériques apparemment aléatoires.
|
||||
|
||||
Comptes publiant des contenus similaires ou identiques.
|
||||
* Comptes publiant des contenus similaires ou identiques.
|
||||
|
||||
TTPs : TA16 T0099 & TA16 T0100
|
||||
**TTPs : TA16 T0099 & TA16 T0100**
|
||||
|
||||
Nom : Prepare assets impersonting legitimate entities & Co-opte trusted
|
||||
sources
|
||||
Nom : *Prepare assets impersonting legitimate entities & Co-opte trusted
|
||||
sources*
|
||||
|
||||
Extrait : « Nuanced Impersonation of Cyber Actors. We identified what we
|
||||
assessed with moderate to high confidence, on a per-account basis, to be
|
||||
eight Twitter accounts impersonating Intrusion Truth comprising part of
|
||||
the DRAGONBRIDGE campaign. »
|
||||
Extrait : « *Nuanced Impersonation of Cyber Actors. We identified what we assessed with moderate to high confidence, on a per-account basis, to be eight Twitter accounts impersonating Intrusion Truth comprising part of the DRAGONBRIDGE campaign.* »
|
||||
|
||||
Usurpation d'identité des cyberacteurs. Huit comptes Twitter se feraient
|
||||
passer pour Intrusion Truth dans le cadre de la campagne DRAGONBRIDGE.
|
||||
* Usurpation d'identité des cyberacteurs. Huit comptes Twitter se feraient passer pour Intrusion Truth dans le cadre de la campagne Dragonbridge.
|
||||
|
||||
Usurpation d'identité d'un groupe qui publie normalement des documents
|
||||
et des analyses sur la menace cyber.
|
||||
* Usurpation d'identité d'un groupe qui publie normalement des documents et des analyses sur la menace cyber.
|
||||
|
||||
Création de faux profils reprenant des acteurs de ce groupe pour poster
|
||||
des tweets plagiés ou altérés.
|
||||
* Création de faux profils reprenant des acteurs de ce groupe pour poster des tweets plagiés ou altérés.
|
||||
|
||||
Utilisation des comptes de réseaux sociaux ressemblant à un groupe connu
|
||||
et référencé (Intrusion Truth), utilisation de médias reconnus : un
|
||||
article de blog de Mandiant, un article du site d'infos Sing Tao Daily,
|
||||
etc.
|
||||
* Utilisation des comptes de réseaux sociaux ressemblant à un groupe connu et référencé (Intrusion Truth), utilisation de médias reconnus : un article de blog de Mandiant, un article du site d'infos Sing Tao Daily, etc.
|
||||
|
||||
TTPs : TA09 T0116
|
||||
**TTPs : TA09 T0116**
|
||||
|
||||
Nom : Comment or reply on content
|
||||
Nom : *Comment or reply on content*
|
||||
|
||||
Extrait : « Separate DRAGONBRIDGE accounts have also replied to tweets
|
||||
Extrait : « *Separate DRAGONBRIDGE accounts have also replied to tweets
|
||||
posted by the original Intrusion Truth, questioning the veracity of the
|
||||
group's information while highlighting alleged malicious U.S. cyber
|
||||
activities. »
|
||||
activities.* »
|
||||
|
||||
Des comptes distincts de DRAGONBRIDGE ont également répondu à des tweets
|
||||
postés originellement par Intrusion Truth, mettant en doute la véracité
|
||||
des informations du groupe tout en soulignant que les États-Unis
|
||||
seraient responsables d'activités cybernétiques malveillantes.
|
||||
|
||||
TTPs : TA11 T0059
|
||||
**TTPs : TA11 T0059**
|
||||
|
||||
Nom : Play the long game
|
||||
Nom : *Play the long game*
|
||||
|
||||
Extrait : « Several of these impersonator accounts promoted content and
|
||||
Extrait : « *Several of these impersonator accounts promoted content and
|
||||
hashtags similar, or identical to, other DRAGONBRIDGE messaging on
|
||||
alleged malicious cyber activity »
|
||||
alleged malicious cyber activity* »
|
||||
|
||||
Réutilisation des faux profils de réseaux sociaux pour promouvoir
|
||||
d'autres campagnes de Dragonbridge.
|
||||
|
||||
@ -1,41 +1,43 @@
|
||||
---
|
||||
title: Volt Typhoon
|
||||
date: 2023-06-18
|
||||
author: Lucien Lagarde
|
||||
---
|
||||
|
||||
Le 24 mai 2023, plusieurs agences étatiques américaines (dont la NSA, la
|
||||
CISA, le FBI), britanniques (NCSC), canadiennes (GCSB) et australiennes
|
||||
(ACSC, ASD) publiaient une Joint Cybersecurity Advisory au sujet d'un
|
||||
(ACSC, ASD) publiaient une *Joint Cybersecurity Advisory* au sujet d'un
|
||||
mode opératoire des attaquants (MOA) baptisé[Volt Typhoon](https://www.nytimes.com/2023/05/24/us/politics/china-guam-malware-cyber-microsoft.html)
|
||||
Cette publication est elle-même accompagnée d'un billet de blog de
|
||||
l'éditeur Microsoft détaillant les tactiques, techniques et procédures
|
||||
(TTPs) de ce [MOA](https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/)
|
||||
Actif depuis mi-2021, Volt Typhoon serait associé aux autorités
|
||||
Actif depuis mi-2021, *Volt Typhoon* serait associé aux autorités
|
||||
chinoises et se livrerait à des campagnes d'espionnage. La victimologie
|
||||
de ce mode opératoire apparait particulièrement large et en parfaite
|
||||
adéquation avec les centres d'intérêt de Pékin. Elle couvrirait le
|
||||
secteur des télécommunications, des services, des transports, les
|
||||
technologies de l'information, l'éducation, le maritime ainsi que les
|
||||
institutions gouvernementales. Dans son rapport, Microsoft met néanmoins
|
||||
l'emphase sur une campagne de Volt Typhoon qui ciblerait des
|
||||
l'emphase sur une campagne de *Volt Typhoon* qui ciblerait des
|
||||
infrastructures critiques à Guam et ailleurs aux États-Unis. Derrière
|
||||
une formulation prudente, l'éditeur américain suggère que ce MOA
|
||||
pourrait chercher à se prépositionner à des fins de sabotage
|
||||
[« Microsoft assesses with moderate confidence that this Volt Typhoon
|
||||
campaign is pursuing development of capabilities that could disrupt
|
||||
critical communications infrastructure between the United States and
|
||||
Asia region during future crises. »](https://www.cert.ssi.gouv.fr/cti/CERTFR-2021-CTI-012/})
|
||||
Asia region during future crises. »](https://www.cert.ssi.gouv.fr/cti/CERTFR-2021-CTI-012/)
|
||||
Ce n'est pas la première que la Chine est accusée de se livrer à des
|
||||
opérations de pré positionnement à des fins de sabotage. En 2021,
|
||||
Recorded Future rapportait ainsi que le mode opératoire RedEcho aurait
|
||||
Recorded Future rapportait ainsi que le mode opératoire *RedEcho* aurait
|
||||
visé plusieurs infrastructures critiques du réseau électrique indien.
|
||||
Dénuée d'intérêt économique, une telle campagne aurait ainsi eu pour
|
||||
objectif, selon Recorded Future, d'être en mesure de réaliser des
|
||||
coupures de courant. Une hypothèse crédible dès lors que cette opération
|
||||
intervenait dans le contexte de tensions dans certains territoires
|
||||
frontaliers disputés par les deux puissances
|
||||
<https://troopers.de/downloads/troopers22/TR22_TinkerTelcoSoldierSpy.pdf>
|
||||
frontaliers disputés par [les deux puissances]
|
||||
(https://troopers.de/downloads/troopers22/TR22_TinkerTelcoSoldierSpy.pdf)
|
||||
Peu discrète, cette campagne aurait alors pu être en réalité un
|
||||
avertissement à destination des [autorités>
|
||||
avertissement à destination des [autoritées
|
||||
indiennes](https://www.intrinsec.com/wp-content/uploads/2023/04/Intrinsec-TLP_White_report_-Final.pdf). La Chine aurait cependant continué à cibler le secteur de
|
||||
l'énergie indien en 2022, utilisant notamment des objets connectés
|
||||
compromit comme serveurs de commande et de contrôle (C2) et aurait
|
||||
@ -43,9 +45,9 @@ utilisé à cette même fin l'outil légitime [FastReverseProxy](https://www.mic
|
||||
En avril 2020, un acteur, associé à la Chine par l'éditeur de solution
|
||||
de cybersécurité Cycraft Technology, se serait, quant à lui, livré à des
|
||||
opérations de sabotage d'infrastructures vitales à Taiwan, en marge de
|
||||
l'inauguration du mandat du nouveau Président taiwanais, peu favorable à
|
||||
Pékin
|
||||
<https://medium.com/cycraft/china-linked-threat-group-targets-taiwan-critical-infrastructure-smokescreen-ransomware-c2a155aa53d5>
|
||||
l'inauguration du mandat du nouveau Président taiwanais, [peu favorable à
|
||||
Pékin]
|
||||
(https://medium.com/cycraft/china-linked-threat-group-targets-taiwan-critical-infrastructure-smokescreen-ransomware-c2a155aa53d5)
|
||||
Cette opération de sabotage avait néanmoins été déguisée en attaque par
|
||||
rançongiciel, suggérant une volonté de ses auteurs de brouiller les
|
||||
pistes et d'éviter une attribution trop simple de cette campagne.
|
||||
@ -60,17 +62,17 @@ effet une pièce maitresse du
|
||||
majeur. Comme le rapporte le New York Times, Guam serait en particulier
|
||||
au centre de toute [réponse américaine en cas d'invasion de Taiwan](https://media.defense.gov/2023/May/24/2003229517/-1/-1/0/CSA_Living_off_the_Land.PDF).
|
||||
Au-delà de la possible finalité de ses campagnes, ce sont les TTPs de
|
||||
Volt Typhoon qui interpellent. En effet, ce mode opératoire semble
|
||||
*Volt Typhoon* qui interpellent. En effet, ce mode opératoire semble
|
||||
chercher à rester discret au maximum. En témoigne par exemple
|
||||
l'utilisation de techniques dites Living off the land, c'est-à-dire
|
||||
l'utilisation de techniques dites *Living off the land*, c'est-à-dire
|
||||
l'utilisation d'outils et solutions légitimes déjà présents sur le
|
||||
système d'information compromis, et non de codes malveillants
|
||||
<https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/> déployés
|
||||
système d'information compromis, et non de [codes malveillants]
|
||||
(https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/) déployés
|
||||
pour l'occasion.
|
||||
|
||||
En outre, Volt Typhoon aurait également utilisé des routeurs
|
||||
d'entreprises et de particuliers (SOHO, pour Small Office/Home Office)
|
||||
comme Operation relay boxes (ORBs) afin de communiquer avec son
|
||||
En outre, *Volt Typhoon* aurait également utilisé des routeurs
|
||||
d'entreprises et de particuliers (SOHO, pour *Small Office/Home Office*)
|
||||
comme *Operation relay boxes* (ORBs) afin de communiquer avec son
|
||||
infrastructure d'attaque. Cette technique permet, entre autres, à un
|
||||
attaquant de réduire la probabilité d'être détecté, notamment en
|
||||
utilisant des routeurs situés dans l'aire géographique de sa cible ;
|
||||
@ -80,11 +82,10 @@ grandissante chez les acteurs associés à la Chine, en témoignent les cas
|
||||
[d'APT31](https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/})
|
||||
ou de
|
||||
[Red Menshen](https://www.recordedfuture.com/redecho-targeting-indian-power-sector). Cette technique fut d'ailleurs utilisée lors de la campagne
|
||||
précitée ciblant le grid indien, tout comme l'utilisation de l'outil
|
||||
légitime FastReverseProxy. Difficile néanmoins d'en tirer de réelle
|
||||
conclusion en matière d'imputation tant les modes opératoires associés à
|
||||
la [Chine](
|
||||
\href{<https://www.nytimes.com/2021/02/28/us/politics/china-india-hacking-electricity.html)
|
||||
précitée ciblant le *grid* indien, tout comme l'utilisation de l'outil
|
||||
légitime *FastReverseProxy*. Difficile néanmoins d'en tirer de réelles
|
||||
conclusions en matière d'imputation tant les modes opératoires associés à
|
||||
la [Chine](https://www.nytimes.com/2021/02/28/us/politics/china-india-hacking-electricity.html)
|
||||
sont adeptes du partage de TTPs, d'outil et d'infrastructure}.Discret au
|
||||
moment de l'accès initial et dans le choix de son infrastructure, les
|
||||
opérateurs de Volt Typhoon le semblent cependant beaucoup moins dans
|
||||
@ -96,7 +97,7 @@ conducting hands-on-keyboard activity via the command line. Some of
|
||||
these commands appear to be exploratory or experimental, as the
|
||||
operators adjust and repeat them multiple times"](https://www.recordedfuture.com/continued-targeting-of-indian-power-grid-assets)
|
||||
|
||||
En outre, les commandes exécutées par Volt Typhoon apparaissent
|
||||
En outre, les commandes exécutées par *Volt Typhoon* apparaissent
|
||||
particulièrement bruyantes :
|
||||
Un tel manque de discrétion au moment de la post-exploitation n'est pas
|
||||
rare chez les opérateurs de modes opératoires associés à la Chine.
|
||||
@ -118,11 +119,11 @@ encore, plusieurs explications sont possibles : s'agissait-il d'envoyer
|
||||
un message à Washington ? Est-ce réellement une opération de
|
||||
prépositionnement qui est décrite dans ce rapport de Microsoft ?
|
||||
Plusieurs questions restent ainsi en suspens, et la faible littérature
|
||||
disponible en sources ouvertes sur Volt Typhoon ne permet d'y apporter
|
||||
disponible en sources ouvertes sur *Volt Typhoon* ne permet d'y apporter
|
||||
de réponse pour l'instant.
|
||||
La menace dans le cyberespace est souvent décrite comme des capacités au
|
||||
service d'une intention et qui exploitent une ou des opportunités. S'il
|
||||
ne fait guère de doute - à l'aune de ces publications sur Volt Typhoon
|
||||
ne fait guère de doute - à l'aune de ces publications sur *Volt Typhoon*
|
||||
et plus généralement sur la lutte informatique chinoise - que Pékin
|
||||
dispose de capacités suffisamment avancées pour pouvoir se livrer à des
|
||||
opérations de sabotage, et que de nombreuses opportunités sont
|
||||
|
||||
|
До Ширина: | Высота: | Размер: 16 KiB После Ширина: | Высота: | Размер: 16 KiB |
Загрузка…
x
Ссылка в новой задаче
Block a user