Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

02/06/2023

Actualité

Note d’information – Washington attribue des cyberattaques à la Chine

Le 24 mai 2023, le gouvernement Américain a publiquement attribué à la Chine une série d’attaques ciblant des infrastructures critiques situées aux États-Unis ainsi que sur l’île de Guam. Un groupe d’attaquants qui serait piloté par Pékin a été identifié par Washington. Il s’agirait du groupe APT (Advanced Persistent Threat) Volt Typhoon suivi par Microsoft et actif depuis 2021 d’après Secureworks (AKA BRONZE SILHOUETTE). Pour renforcer la légitimé de cette attribution, les pays membres des Five Eyes[1] sont venus appuyer les propos de Washington.

Le terme APT, Advanced Persistant Threat, désigne un type d’attaque perpétré par des groupes professionnels, opérant dans des structures banalisées et financées par des États. À cet égard, les groupes qui conduisent ces APT sont une famille de cybercriminels qui dispose de moyens financiers et techniques très importants. Ces groupes sont capables de conduire des attaques présentant souvent un haut niveau de sophistication, préparées pendant plusieurs mois. Ces groupes APT poursuivent des objectifs précis sur le long terme en pénétrant un réseau pendant plusieurs mois voire plusieurs années, notamment en matière d’espionnage politique et/ou industriel.

 

Les différentes publications mettent en avant l’usage des outils natifs Windows par les attaquants pour s’introduire dans un système d’information. Il s’agit d’une technique intitulée « Living off the Land » (LotL) qui consiste à utiliser les ressources d’ores-et-déjà disponibles sur un système, tels que des outils d’administration standard, afin d’éviter le déploiement d’outils de piratage connus et augmenter leurs chances de passer inaperçus. Bien que cette technique soit répandue, ce témoignage offre un élément de contexte supplémentaire et doit pousser les défenseurs à appliquer une surveillance accrue des outils natifs Windows utilisables[2] dans ce cadre.

 

Sur le plan technique, il est difficile d’attribuer avec certitude l’origine d’une attaque à un groupe APT. Toutefois, certains États font le choix de désigner les pays auxquels les groupes seraient affiliés. Ce type de manœuvre s’intègre dans une stratégie de communication politique visant à afficher publiquement les activités d’un pays en utilisant le “naming and shaming”. Dans le cas des États-Unis, leur politique étrangère cible particulièrement la Chine. Le concept de Chinese Threat structure notamment tout un pan de leur politique étrangère. Ainsi, selon le FBI, « the Chinese government is seeking to become the world’s greatest superpower through predatory lending and business practices, systematic theft of intellectual property, and brazen cyber intrusions[3] ».

 

Il est utile de préciser qu’il ne s’agit pas de la première attribution réalisée par le gouvernement américain concernant des attaques perpétrées par la Chine sur des infrastructures situées aux Etats- Unis. A titre d’exemple, le 27 avril 2017, le CISA[4] a publié une alerte concernant une campagne de cybervol[5] sophistiquée d’origine chinoise visant des fournisseurs mondiaux de services technologiques et leurs clients.

 

Tout comme le gouvernement Américain, selon le ministère des Armées, « la France se réserve le droit d’attribuer publiquement, ou non, une cyberattaque dont elle aurait été victime, et de porter cette information à la connaissance de sa population, d’États tiers ou de la communauté internationale[6] ». Comme les États-Unis, la France fait parfois le choix de désigner publiquement certains États. Ainsi, en juillet 2021, les autorités françaises ont attribué une attaque au groupe chinois APT31 (AKA ZIRCONIUM)[7].

 

Sur le plan de la cyberdéfense, l’attribution d’une attaque peut permettre de mettre fin à une attaque de grande ampleur mais peut être aussi défavorable à la lutte contre les activités malveillantes menées par d’autres États. En effet, mettre en lumière des attaquants ainsi que les campagnes qu’ils ont menées peut les conduire à revoir leur méthodologie d’attaque. Ainsi, le traçage des groupes devient plus complexe, notamment pour les services de renseignement car les attaquants sont susceptibles de modifier leurs méthodologies (TTP 3), or celles-ci aident parfois à les identifier[8]. Toutefois, cela n’est pas valable pour tous les groupes car certains continuent d’utiliser les mêmes techniques.

Références

Téléchargez la note d'information

L'équipe SOC CERT CWATCH

Voir les derniers Cybersecurity Insights et Actualités

29 septembre 2023
Découvrez la solution SASE de Zscaler avec Benoit Vérove, Partner et Lead Security Integration chez Almond et Reda Nedjar, Principal Sales Engineer chez Zscaler au travers d'une démonstration technique au cœur de l'outil Zscaler Zero Trust Exchange™!
30 août 2023
Cette année, Almond est présent au Suisse IT Forum à Genève les 20 et 21 septembre prochain.
3 août 2023
Mon rôle de formateur : Yannick, Ethical Hacker et formateur en sécurité offensive au sein d’Almond Institute.
29 juin 2023
Almond, société experte en cybersécurité avec la réalisation de plus d’une centaine d’audits de maturité cyber pour les PME, vous accompagne dans les premiers pas essentiels de sécurisation de votre entreprise pour vous protéger des risques cyber, avec le Diag Cybersécurité de Bpifrance.
19 juin 2023
Après avoir déjà obtenue la qualification solution partner pour les environnements infrastructures Microsoft Azure (Cloud) et ModernWork place (suite 0365), Almond a validé sa 3ème qualification en tant que solution Partner Sécurité.
16 juin 2023
Le SASE en 7 min chrono : décrypter le SASE, sa fonction et ses usages. Pour y voir plus clair, nous vous proposons d’entrer en immersion dans les plateformes SASE des experts du secteur. Découvrons ensemble, la solution SASE proposée par Cato Networks. Joseph Fernando, SE Manager South EMEA, chez Cato Networks réalise une démonstration technique de la solution Cato SASE Cloud, au côté de Benoit Vérove, Partner et Lead Security Integration chez Almond.
12 juin 2023
Comme chaque année, SWIFT met à jour son standard CSCF et apporte son lot de nouveautés. Nous vous proposons ici quelques clés de lecture associées aux changements fondamentaux apportés par le CSCF v2023
5 juin 2023
Depuis 2021, tous les clients SWIFT se trouvent dans l’obligation de réaliser une évaluation de conformité dans le cadre du Customer Security Program (CSP) de SWIFT.
2 juin 2023
Décryptez la technologie SASE, au travers d'une démonstration technique de la solution Harmony Connect proposée par Check Point.
26 mai 2023
La Chine étant devenue un acteur incontournable du cyberespace, elle s’implique également dans l’élaboration d’un régime de protection des données.