Un groupe appelé Volt Typhoon ciblerait les infrastructures américaines critiques telles que les télécommunications, les infrastructures énergétiques et les transports avec des applications pour les petites entreprises et les consommateurs. Alors que Microsoft considère un groupe chinois pro-gouvernemental comme l’auteur des attaques avec un degré de probabilité moyen, l’Office fédéral de la sécurité de l’information (BSI) ne voit aucun nouveau danger, mais certainement une source d’inquiétude. Microsoft affirme que l’objectif principal du groupe était de récolter des données sur des ordinateurs et des applications Web. Les attaques du groupe chinois sont particulièrement sensibles politiquement et, selon les Etats-Unis, le groupe vise des infrastructures militairement pertinentes, notamment sur l’île de Guam, principale base aérienne de l’US Air Force dans le Pacifique Nord.
Microsoft décrit les solutions Fortinet Fortigate, qui sont en réalité censées protéger contre les attaques, comme une passerelle. Ce qui est déconcertant, c’est comment exactement le groupe y a eu accès en premier lieu. Cependant, il semble clair que la configuration des droits des produits Fortinet en tant qu’utilisateurs d’Active Directory joue un rôle important dans la manière dont les attaquants ont ensuite procédé sur les réseaux compromis. Même si le BSI ne voit aucun besoin d’action immédiat, les entreprises devraient suivre systématiquement les recommandations du BSI, car le BSI met en garde depuis longtemps contre les attaques contre des systèmes de périmètre relativement mal protégés sur Internet.
Dans son enquête, Microsoft est arrivé à la conclusion que Volt Typhoon a agi principalement de manière discrète. Ils ont utilisé des privilèges élevés pour utiliser principalement les fonctionnalités standard et les outils système généralement autorisés tels que les services PowerShell, wmic, ntdsutil et netsh. Des avertissements urgents sont venus de la NSA et des agences de renseignement et de cybersécurité des pays dits des Five Eyes. Ils recommandent de détecter et d’atténuer les attaques potentielles à l’aide de routeurs et d’autres périphériques réseau, y compris les produits d’Asus, Cisco, D-Link, Netgear et Zyxel, en tant que proxys pour le trafic sortant via l’accès administrateur HTTP ou SSH depuis Internet pour empêcher les attaques de piste.
Une porte-parole du ministère chinois des Affaires étrangères a nié ces allégations, affirmant qu’il s’agissait de “désinformation par les agences de renseignement américaines”. Même si Volt Typhoon a agi discrètement, principalement avec des outils standards, des attaques politiquement explosives comme celle-ci sont toujours préoccupantes, en particulier contre des infrastructures critiques menacées aux États-Unis.
