Le typhon Volt intensifie les activités malveillantes contre les infrastructures critiques

Le groupe de cyberespionnage soutenu par la Chine, Volt Typhoon, cible systématiquement les anciens appareils Cisco dans le cadre d'une campagne sophistiquée et furtive visant à développer son infrastructure d'attaque.

Dans de nombreux cas, l’acteur malveillant, connu pour cibler les infrastructures critiques, exploite quelques vulnérabilités de 2019 dans les routeurs, pour s’introduire dans les appareils cibles et en prendre le contrôle.

Cibler les secteurs d’infrastructures critiques aux États-Unis

Les chercheurs de l’équipe de renseignement sur les menaces de SecurityScorecard ont repéré cette activité lors d’enquêtes de suivi sur des fournisseurs récents et les rapports des médias à propos de Volt Typhoon pénétrant dans les organisations d'infrastructures critiques américaines et préparant le terrain pour de futures perturbations potentielles. Les attaques ont ciblé les services d’eau, les fournisseurs d’électricité, les systèmes de transport et de communication. Parmi les victimes du groupe figurent des organisations aux États-Unis, au Royaume-Uni et en Australie.

L'un des rapports du fournisseur, de Lumen, a décrit un botnet composé de routeurs pour petits bureaux/bureaux à domicile (SOHO) que Volt Typhoon – et d’autres groupes menaçants chinois – utilisent comme réseau de commande et de contrôle (C2) dans les attaques contre des réseaux de grande valeur. Le réseau décrit par Lumen dans le rapport se compose principalement de routeurs en fin de vie de Cisco, DrayTek et, dans une moindre mesure, de Netgear.

Les chercheurs de SecurityScorecard ont utilisé les indicateurs de compromission (IoC) publiés par Lumen avec son rapport pour voir s'ils pouvaient identifier une nouvelle infrastructure associée à la campagne de Volt Typhoon. Le enquête a montré que l’activité du groupe de menaces pourrait être plus étendue qu’on ne le pensait auparavant, explique Rob Ames, chercheur sur les menaces chez SecurityScorecard.

Par exemple, Volt Typhoon semble avoir été responsable de la compromission de jusqu'à 30 % (soit 325 sur 1,116 320) des routeurs Cisco RV325/2 en fin de vie que SecurityScorecard a observés sur le botnet C37 sur une période de 1 jours. Les chercheurs du fournisseur de sécurité ont observé des connexions régulières entre les appareils Cisco compromis et l’infrastructure connue de Volt Typhoon entre le 2023er décembre 7 et le 2024 janvier XNUMX, ce qui suggère une opération très active.

Les recherches de SecurityScorecard ont également montré que Volt Typhoon déployait « fy.sh », un shell Web jusqu'alors inconnu sur les routeurs Cisco et autres périphériques de périphérie du réseau que le groupe cible actuellement. De plus, SecurityScorecard a pu identifier plusieurs nouvelles adresses IP qui semblaient liées à l'activité de Volt Typhoon.

"SecurityScorecard a utilisé des IoC précédemment diffusés liés à Volt Typhoon pour identifier les appareils nouvellement compromis que nous avons observés, le webshell non spécifié auparavant (fy.sh) et les autres adresses IP pouvant représenter de nouveaux IoC", explique Ames.

Cyberattaques pour vivre de la terre

Volt Typhon est un groupe menaçant que le Agence américaine de cybersécurité et d'infrastructure (CISA) a été identifié comme un acteur menaçant chinois parrainé par l’État ciblant les secteurs d’infrastructures critiques des États-Unis. Microsoft, le premier à avoir rendu compte du groupe en mai 2023, l'a décrit comme étant actif depuis au moins mai 2021, étant basé en Chine et menant un cyberespionnage à grande échelle en utilisant une multitude de techniques pour vivre de la terre. La société a évalué le groupe comme développant des capacités permettant de perturber les capacités de communication critiques entre les États-Unis et l’Asie lors de futurs conflits potentiels.

Ames affirme que l’utilisation par Volt Typhoon de routeurs compromis pour les transferts de données est une indication de l’engagement du groupe en faveur de la furtivité.

« Le groupe achemine souvent son trafic via ces appareils afin d'éviter toute détection géographique lorsqu'il cible des organisations situées dans la même zone que les routeurs compromis », explique-t-il. "Ces organisations peuvent être moins susceptibles de remarquer une activité malveillante si le trafic impliqué semble provenir de la zone dans laquelle l'organisation est basée."

Cyber-ciblage des équipements vulnérables en fin de vie

Le ciblage par Volt Typhoon des appareils en fin de vie est également très logique du point de vue de l’attaquant, explique Ames. Il existe quelque 35 vulnérabilités critiques connues avec un indice de gravité d’au moins 9 sur 10 sur l’échelle CVSS – dont deux dans le catalogue des vulnérabilités exploitées connues du CISA – associées aux routeurs Cisco RV320 ciblés par Volt Typhoon. Cisco a cessé de publier des correctifs de bogues, des versions de maintenance et des réparations pour la technologie il y a trois ans, en janvier 2021. En plus des appareils Cisco, le botnet lié à Volt Typhoon comprend également les anciens routeurs DrayTek Vigor et Netgear ProSafe compromis.

« Du point de vue des appareils eux-mêmes, ce sont des fruits à portée de main », explique Ames. "Étant donné que la "fin de vie" signifie que les fabricants des appareils ne publieront plus de mises à jour pour ceux-ci, les vulnérabilités qui les affectent risquent de ne pas être corrigées, laissant les appareils susceptibles d'être compromis."

Callie Guenther, directrice principale de la recherche sur les cybermenaces chez Critical Start, affirme que le ciblage stratégique de Volt Typhoon des routeurs Cisco en fin de vie, son développement d'outils personnalisés comme fy.sh et son ciblage géographique et sectoriel suggèrent une opération très sophistiquée.

« Se concentrer sur les systèmes existants n'est pas une tactique courante parmi les acteurs de la menace, principalement parce qu'elle nécessite des connaissances spécifiques sur les systèmes plus anciens et leurs vulnérabilités, qui peuvent ne pas être largement connues ou documentées », explique Guenther. "Cependant, il s'agit d'une tendance croissante, en particulier parmi les acteurs parrainés par l'État qui disposent des ressources et de la motivation nécessaires pour mener des reconnaissances approfondies et développer des exploits sur mesure."

À titre d’exemple, elle cite plusieurs acteurs menaçants ciblant ce que l’on appelle Vulnérabilités de Ripple20 dans une pile TCP/IP qui a affecté des millions d'appareils IoT existants, ainsi que des groupes de menaces chinois et iraniens ciblant les failles d'anciens produits VPN.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/cyber-risk/volt-typhoon-ramps-up-malicious-activity-critical-infrastructure