{"id":414309,"date":"2023-05-25T19:45:57","date_gmt":"2023-05-25T18:45:57","guid":{"rendered":"https:\/\/www.stormshield.com\/?p=414309"},"modified":"2024-05-29T08:59:19","modified_gmt":"2024-05-29T07:59:19","slug":"alerte-securite-volt-typhoon-la-reponse-des-produits-stormshield","status":"publish","type":"post","link":"https:\/\/www.stormshield.com\/fr\/actus\/alerte-securite-volt-typhoon-la-reponse-des-produits-stormshield\/","title":{"rendered":"Alerte s\u00e9curit\u00e9 Volt Typhoon : la r\u00e9ponse des produits Stormshield"},"content":{"rendered":"

Une attaque persistante (APT) de grande envergure r\u00e9alis\u00e9e par le groupe de cyber-criminels chinois nomm\u00e9 Volt Typhoon vient d\u2019\u00eatre signal\u00e9e par le gouvernement am\u00e9ricain, conjointement avec plusieurs entit\u00e9s priv\u00e9es dans la cybers\u00e9curit\u00e9. Cette cyberattaque a cibl\u00e9 des infrastructures am\u00e9ricaines critiques et semble \u00eatre infiltr\u00e9e depuis 2021.<\/strong><\/p>\n

 <\/p>\n

Le contexte de l'attaque Volt Typhoon<\/h2>\n

La NSA a publi\u00e9 le 24 mai 2023 l'analyse d\u2019une APT chinoise<\/a> ciblant les infrastructures am\u00e9ricaines critiques dans les secteurs de la communication, le transport, la construction, la marine ou encore l\u2019\u00e9ducation. Une attaque attribu\u00e9e au groupe Volt Typhoon. Un groupe qui n\u2019en serait pas \u00e0 son premier coup, puisqu\u2019il serait connu aussi sous le nom de Bronze Silhouette<\/a> (une analyse de l'entreprise SecureWork).<\/p>\n

Ce document relate une cyberattaque dont l\u2019objectif principal est l\u2019espionnage et l\u2019exfiltration de donn\u00e9es par des moyens les plus discrets possibles<\/strong>.<\/p>\n

La collecte d\u2019informations exploite massivement l\u2019usage de LOLBin<\/a>\u00a0dans le but de contourner les restrictions d\u2019ex\u00e9cutions potentiellement effectives sur les postes de travail et limiter au maximum de d\u00e9clencher des alertes de s\u00e9curit\u00e9.<\/p>\n

Pour exfiltrer les donn\u00e9es vers son C&C, le groupe Volt Typhoon a utilis\u00e9 des relais cr\u00e9\u00e9s suite \u00e0 compromission pr\u00e9alable d\u2019\u00e9quipements SoHo (Small Office \/ Home Office<\/em>), notamment des routeurs, firewall ou VPN de diff\u00e9rentes marques et gammes (ASUS, Cisco RV, Draytek Vigor, D-Link, FatPipe IPVPN \/ MPVPN \/ WARP, Netgear Prosafe, ou encore Zyxel USG). Ce principe permet de masquer au maximum ces communications.<\/p>\n

 <\/p>\n

Le vecteur initial de l'attaque Volt Typhoon<\/h2>\n

L\u2019acc\u00e8s initial de cette cyberattaque a \u00e9t\u00e9 conduit sur des \u00e9quipements Fortigate de Fortinet qui auraient permis ensuite aux cyber-criminels de collecter des donn\u00e9es d\u2019authentification aupr\u00e8s de l\u2019AD auquel ils seraient rattach\u00e9s. Ils auraient ensuite tent\u00e9 d\u2019utiliser ces informations de connexion sur d\u2019autres \u00e9quipements du r\u00e9seau.<\/p>\n

Aucune information n\u2019est donn\u00e9e concernant les vuln\u00e9rabilit\u00e9s exploit\u00e9es sur les \u00e9quipements Fortigate ou sur les \u00e9quipements r\u00e9seaux utilis\u00e9s comme relais de communication vers le serveur de contr\u00f4le.<\/p>\n

 <\/p>\n

Les d\u00e9tails techniques de l'attaque Volt Typhoon<\/h2>\n

Une fois les acc\u00e8s au r\u00e9seau obtenus, le groupe Volt Typhoon \/ Bronze Silhouette a ensuite lourdement exploit\u00e9 les fameux LOLBins<\/a> afin de contourner les politiques de restriction d\u2019ex\u00e9cution des postes de travail ainsi que pour maximiser la discr\u00e9tion.<\/p>\n

On retrouve notamment l\u2019usage des binaires \/ commandes suivants (liste non exhaustive)\u00a0:<\/p>\n