Parmi les risques de cybersécurité auxquels les États-Unis sont aujourd’hui confrontés, peu sont plus importants que les capacités potentielles de sabotage posées par les pirates informatiques soutenus par la Chine, que de hauts responsables américains ont décrit comme une « menace historique ».
Ces derniers mois, des responsables du renseignement américain ont déclaré que des pirates informatiques soutenus par le gouvernement chinois s'étaient profondément infiltrés dans les réseaux d'infrastructures critiques américaines, notamment les fournisseurs d'eau, d'énergie et de transport. L’objectif, selon les responsables, est de jeter les bases de cyberattaques potentiellement destructrices en cas de futur conflit entre la Chine et les États-Unis, par exemple à propos d’une éventuelle invasion chinoise de Taiwan.
“Les pirates informatiques chinois se positionnent sur les infrastructures américaines en vue de faire des ravages et de causer des dommages réels aux citoyens et aux communautés américaines, si ou quand la Chine décide que le moment est venu de frapper”, a déclaré le directeur du FBI, Christopher Wray, aux législateurs plus tôt cette année.
Le gouvernement américain et ses alliés ont depuis pris des mesures contre la famille des groupes de hackers chinois « Typhoon » et publié de nouveaux détails sur les menaces qu’ils représentent.
En janvier, les États-Unis ont démantelé un groupe de pirates informatiques du gouvernement chinois, surnommé « Volt Typhoon », chargé de préparer le terrain pour des cyberattaques destructrices. Plus tard en septembre, les autorités fédérales ont détourné un botnet géré par un autre groupe de hackers chinois appelé « Flax Typhoon », qui se fait passer pour une entreprise privée à Pékin et dont le rôle était d'aider à dissimuler les activités des pirates informatiques du gouvernement chinois. Depuis lors, un nouveau groupe de piratage soutenu par la Chine, appelé « Salt Typhoon », a émergé, capable de recueillir des renseignements sur les Américains – et les cibles potentielles de la surveillance américaine – en compromettant les systèmes d’écoute électronique des fournisseurs de téléphonie et d’accès Internet américains.
Voici ce que nous savons jusqu’à présent sur les groupes de hackers chinois qui se préparent à la guerre.
Typhon Volt
Volt Typhoon représente une nouvelle génération de groupes de hackers soutenus par la Chine ; ne vise plus seulement à voler des secrets américains sensibles, mais plutôt à se préparer à perturber la « capacité de mobilisation » de l'armée américaine, selon le directeur du FBI.
Microsoft a identifié Volt Typhoon pour la première fois en mai 2023, constatant que les pirates avaient ciblé et compromis des équipements réseau, tels que des routeurs, des pare-feu et des VPN, depuis la mi-2021, dans le cadre d'un effort continu et concerté visant à s'infiltrer plus profondément dans les infrastructures critiques américaines. En réalité, il est probable que les pirates informatiques opèrent depuis bien plus longtemps ; potentiellement pendant cinq ans.
Volt Typhoon a compromis des milliers d'appareils connectés à Internet dans les mois qui ont suivi le rapport de Microsoft, en exploitant les vulnérabilités des appareils connectés à Internet qui étaient considérés comme « en fin de vie » et ne recevaient donc plus de mises à jour de sécurité. Ainsi, le groupe de piratage a ensuite réussi à compromettre les environnements informatiques de plusieurs secteurs d’infrastructures critiques, notamment l’aviation, l’eau, l’énergie et les transports, se prépositionnant ainsi pour activer de futures cyberattaques potentiellement perturbatrices.
“Cet acteur ne se livre pas à la collecte discrète de renseignements et au vol de secrets qui sont la norme aux États-Unis. Il enquête sur les infrastructures critiques sensibles afin de pouvoir perturber les services majeurs si et quand l'ordre tombe”, a déclaré John Hultquist, chef de la direction. analyste chez Mandiant, société de sécurité.
Le gouvernement américain a déclaré en janvier qu'il avait réussi à démanteler un botnet, utilisé par Volt Typhoon, composé de milliers de routeurs de petits bureaux et de réseaux domestiques basés aux États-Unis, que le groupe de piratage chinois utilisait pour cacher son activité malveillante visant à cibler des cibles critiques aux États-Unis. infrastructure. Le FBI a déclaré avoir réussi à supprimer le malware des routeurs piratés, coupant ainsi la connexion du groupe de hackers chinois au botnet.
Typhon de lin
Flax Typhoon, révélé pour la première fois dans un rapport de Microsoft d'août 2023, est un autre groupe de piratage soutenu par la Chine qui, selon les responsables, a opéré sous le couvert d'une société de cybersécurité cotée en bourse et basée à Pékin. La société, Integrity Technology Group, a publiquement reconnu ses liens avec le gouvernement chinois, selon des responsables américains.
En septembre, le gouvernement américain a annoncé avoir pris le contrôle d'un autre botnet, utilisé par Flax Typhoon, qui exploitait une variante personnalisée du tristement célèbre malware Mirai, composé de centaines de milliers d'appareils connectés à Internet.
Les responsables américains avaient déclaré à l’époque que le botnet contrôlé par Flax Typhoon était utilisé pour « mener des cyberactivités malveillantes déguisées en trafic Internet de routine provenant d’appareils grand public infectés ». Les procureurs ont déclaré que le botnet géré par Flax Typhoon permettait à d’autres pirates informatiques soutenus par le gouvernement chinois de « pirater des réseaux aux États-Unis et dans le monde pour voler des informations et mettre notre infrastructure en danger ».
Selon le profil du groupe soutenu par le gouvernement établi par Microsoft, Flax Typhoon est actif depuis la mi-2021, ciblant principalement « les agences gouvernementales et les organisations d'éducation, de fabrication critique et de technologie de l'information à Taiwan ». Le ministère de la Justice a déclaré qu'il corroborait les conclusions de Microsoft et que Flax Typhoon avait également « attaqué plusieurs sociétés américaines et étrangères ».
Typhon de sel
Le dernier groupe – et potentiellement le plus inquiétant – de la cyber-armée soutenue par le gouvernement chinois découvert ces derniers mois est Salt Typhoon.
Salt Typhoon a défrayé la chronique en octobre pour une opération beaucoup plus sophistiquée. Comme l'a rapporté pour la première fois le Wall Street Journal, le groupe de piratage informatique lié à la Chine aurait compromis les systèmes d'écoute électronique de plusieurs fournisseurs américains de télécommunications et d'Internet, notamment AT&T, Lumen (anciennement CenturyLink) et Verizon.
Selon un rapport, Salt Typhoon aurait pu accéder à ces organisations en utilisant des routeurs Cisco compromis. Le gouvernement américain en serait aux premiers stades de son enquête.
Bien que l’ampleur des compromissions concernant le fournisseur d’accès Internet reste inconnue, le Journal, citant des sources de sécurité nationale, a déclaré que la violation pourrait être « potentiellement catastrophique ». En piratant les systèmes utilisés par les forces de l'ordre pour la collecte de données clients autorisée par les tribunaux, Salt Typhoon a potentiellement obtenu l'accès aux données et aux systèmes qui hébergent une grande partie des demandes du gouvernement américain, y compris l'identité des cibles chinoises potentielles de la surveillance américaine.
On ne sait pas encore quand la violation s'est produite, mais le WSJ rapporte que les pirates pourraient avoir détenu l'accès aux systèmes d'écoute électronique des fournisseurs d'accès Internet « pendant des mois, voire plus ».