Les acteurs parrainés par l'État de la RPC compromettent et maintiennent un accès persistant à l'infrastructure critique des États-Unis

Les agences américaines, y compris la CISA, la NSA et le FBI, ont identifié que les acteurs cyber étatiques chinois connus sous le nom de Volt Typhoon ciblent les organisations d'infrastructure critique aux États-Unis. Volt Typhoon a compromis les réseaux IT dans des secteurs tels que les communications, l'énergie, les transports et les systèmes d'eau, principalement via des vulnérabilités connues ou des exploits zero-day. Le comportement du groupe suggère qu'ils se positionnent pour des attaques disruptives ou destructrices sur les actifs OT pendant les tensions géopolitiques ou les conflits militaires. Volt Typhoon mène une reconnaissance pré-exploitation extensive pour adapter leurs tactiques à l'environnement ciblé et maintenir un accès persistant grâce à des techniques LOTL et une sécurité opérationnelle solide. Ils élèvent souvent les privilèges pour obtenir des informations d'administrateur, ce qui leur permet de se déplacer latéralement vers les contrôleurs de domaine et d'autres appareils, y compris les systèmes OT. Volt Typhoon utilise des binaires LOTL et PowerShell pour extraire des informations sensibles des journaux d'événements et du fichier NTDS.dit, contournant les mécanismes de verrouillage de fichiers. Ils emploient le cracking de mots de passe hors ligne pour obtenir des mots de passe en clair et un accès élevé pour une infiltration et une découverte ultérieures. Volt Typhoon a démontré la capacité d'accéder et de manipuler les actifs OT, tels que les systèmes de climatisation et les contrôles énergétiques, ce qui pose une menace potentielle pour l'infrastructure critique. Les partenaires internationaux estiment que la menace pour l'infrastructure dans leurs pays respectifs est plus faible, mais pourrait être affectée par les perturbations de l'infrastructure américaine. Les organisations d'infrastructure critique sont instamment priées de mettre en œuvre des mesures d'atténuation et de chasser l'activité malveillante pour prévenir ou répondre aux incidents.