Le Centre national chinois de réponse d’urgence aux virus informatiques (CVERC) a redoublé d’affirmations selon lesquelles l’acteur malveillant connu sous le nom de le typhon Volt est une fabrication des États-Unis et de leurs alliés.
L’agence, en collaboration avec le Laboratoire national d’ingénierie pour la technologie de prévention des virus informatiques, a ensuite accusé le gouvernement fédéral américain, les agences de renseignement et les pays Five Eyes de mener des activités de cyberespionnage contre la Chine, la France, l’Allemagne, le Japon et les internautes du monde entier. .
Il a également déclaré qu’il existe des « preuves irréfutables » indiquant que les États-Unis mènent des opérations sous fausse bannière pour tenter de dissimuler leurs propres cyberattaques malveillantes, ajoutant qu’ils inventent le « soi-disant danger des cyberattaques chinoises » et qu’ils ont établi un « grand réseau mondial de surveillance Internet à grande échelle.
« Et le fait que les États-Unis aient adopté des attaques contre la chaîne d’approvisionnement, implanté des portes dérobées dans les produits Internet et les ‘prépositionnés’ a complètement démystifié le Volt Typhoon – une farce politique écrite, dirigée et mise en œuvre par le gouvernement fédéral américain », peut-on lire. dit.
« La base militaire américaine de Guam n’a pas du tout été victime des cyberattaques du Volt Typhoon, mais a été l’initiatrice d’un grand nombre de cyberattaques contre la Chine et de nombreux pays d’Asie du Sud-Est et le centre de liaison des données volées. »
Il convient de noter qu’un précédent rapport publié par le CVERC en juillet caractérisé le Volt Typhoon comme campagne de désinformation orchestré par les agences de renseignement américaines.
Volt Typhoon est le surnom attribué à un groupe de cyberespionnage lié à la Chine qui serait actif depuis 2019, s’intégrant furtivement dans les réseaux d’infrastructures critiques en acheminant le trafic via des appareils périphériques compromettant les routeurs, les pare-feu et le matériel VPN dans le but de se fondre et voler sous le radar.
Pas plus tard que fin août 2024, il était lié à l’exploitation zero-day d’une faille de sécurité de haute gravité affectant Versa Director (CVE-2024-39717, score CVSS : 6,6) pour fournir un shell Web nommé VersaMem pour faciliter le vol d’informations d’identification et exécuter du code arbitraire.
L’utilisation de dispositifs de pointe par des ensembles d’intrusions liés à la Chine est devenue une tendance ces dernières années, certaines campagnes les utilisant comme boîtes de relais opérationnels (ORB) pour échapper à la détection.
Ceci est corroboré par un récent rapport publié par la société française de cybersécurité Sekoia, qui attribue les auteurs de menaces probablement d’origine chinoise à une campagne d’attaques à grande échelle qui infecte les appareils de pointe tels que les routeurs et les caméras pour déployer des portes dérobées telles que GobRAT et Bulbature pour des attaques de suivi. contre des cibles d’intérêt.
« Bulbature, un implant qui n’a pas encore été documenté en open source, semble être utilisé uniquement pour transformer le périphérique Edge compromis en ORB pour relayer les attaques contre les réseaux des victimes finales », ont déclaré les chercheurs. dit.
« Cette architecture, composée de dispositifs de périphérie compromis agissant comme des ORB, permet à un opérateur de mener des cyberopérations offensives dans le monde entier, à proximité des cibles finales et de masquer son emplacement en créant des tunnels proxy à la demande. »
Dans le dernier document de 59 pages, les autorités chinoises ont déclaré que plus de 50 experts en sécurité des États-Unis, d’Europe et d’Asie avaient contacté le CVERC, exprimant leurs inquiétudes concernant « le faux récit américain » sur le typhon Volt et le manque de preuves reliant le typhon Volt. acteur menaçant pour la Chine.
Le CVERC n’a cependant pas nommé ces experts, ni leurs raisons pour étayer cette hypothèse. Il poursuit en affirmant que les agences de renseignement américaines ont créé une boîte à outils furtive baptisée Marble au plus tard en 2015 dans le but de confondre les efforts d’attribution.
« La boîte à outils est un cadre d’outils qui peut être intégré à d’autres projets de développement de cyber-armes pour aider les développeurs de cyber-armes à masquer diverses caractéristiques identifiables dans le code du programme, « effaçant » efficacement les « empreintes digitales » des développeurs de cyber-armes », a-t-il déclaré.
« De plus, le cadre a une fonction plus « éhontée » consistant à insérer des chaînes dans d’autres langues, comme le chinois, le russe, le coréen, le persan et l’arabe, ce qui est évidemment destiné à induire les enquêteurs en erreur et à piéger la Chine, la Russie, la Corée du Nord, l’Iran. et les pays arabes. »
Le rapport profite en outre de l’occasion pour accuser les États-Unis de s’appuyer sur leurs « avantages technologiques innés et leurs avantages géologiques dans la construction d’Internet » pour contrôler les câbles à fibres optiques à travers l’Atlantique et le Pacifique et de les utiliser pour une « surveillance aveugle » des utilisateurs d’Internet. mondial.
Il a également allégué que des entreprises comme Microsoft et CrowdStrike ont eu recours à des surnoms « absurdes » avec des « connotations géopolitiques évidentes » pour des groupes d’activités menaçantes avec des noms comme « typhon », « panda » et « dragon ».
« Une fois de plus, nous voudrions appeler à une vaste collaboration internationale dans ce domaine », conclut-il. « En outre, les entreprises de cybersécurité et les instituts de recherche devraient se concentrer sur la recherche technologique contre les cybermenaces et sur de meilleurs produits et services pour les utilisateurs. »