La National Security Agency des États-Unis reste souvent silencieuse sur son travail et ses renseignements. Mais lors de la conférence sur la sécurité CyberWarCon à Washington DC jeudi, deux membres du Cybersecurity Collaboration Center de l’agence ont lancé un « appel à l’action » à la communauté de la cybersécurité : méfiez-vous de la menace posée par les pirates informatiques soutenus. par le gouvernement chinois intégré dans l’infrastructure critique des États-Unis.
Aux côtés de ses homologues de l’alliance de renseignement « Five Eyes », la NSA avertit depuis mai que le groupe parrainé par Pékin, connu sous le nom de Volt Typhoon, cible les réseaux d’infrastructures critiques, notamment les réseaux électriques, dans le cadre de ses activités.
Les responsables ont souligné jeudi que les administrateurs réseau et les équipes de sécurité devraient être à l’affût des activités suspectes dans lesquelles les pirates informatiques utilisent et abusent d’outils légitimes au lieu de logiciels malveillants (une approche connue sous le nom de « rester à l’écart ») pour mener à bien des opérations secrètes. Il a ajouté qu’à mesure que le gouvernement chinois développe également de nouvelles techniques de malware et d’intrusion, il existe une large réserve de vulnérabilités zero-day que les pirates peuvent utiliser et exploiter comme une arme. Pékin collecte ces bugs grâce à ses propres recherches, ainsi qu’à une loi exigeant la divulgation des vulnérabilités.
La République populaire de Chine « s’efforce d’attendre le meilleur moment pour obtenir un accès non autorisé aux systèmes et exploiter ces réseaux », a déclaré jeudi Morgan Adamski, directeur du Cybersecurity Collaboration Center de la NSA. « La menace est très sophistiquée et répandue. Ce n’est pas facile à trouver. Il s’agit d’un prépositionnement destiné à pénétrer silencieusement les réseaux critiques sur de longues distances. Le fait que ces acteurs se trouvent dans des infrastructures critiques est inacceptable et c’est quelque chose que nous prenons très au sérieux, quelque chose qui nous tient à cœur.
Mark Parsons et Judy Ng de Microsoft ont fait le point sur l’activité de Volt Typhoon plus tard dans la journée lors de la CyberWarCon. Il a noté qu’après avoir été inactif au printemps et pendant la majeure partie de l’été, le groupe a réapparu en août avec une sécurité opérationnelle renforcée qui a rendu ses activités plus difficiles à suivre. Le typhon Volt continue d’attaquer les universités et les programmes du corps de formation des officiers de réserve de l’armée américaine – un type de groupe de victimes particulièrement privilégié – mais semble également cibler d’autres services publics américains.
“Nous pensons que le Volt Typhoon le fait à des fins d’espionnage, mais au-delà de cela, nous pensons qu’il peut l’utiliser pour provoquer des destructions ou des perturbations en cas de besoin”, a déclaré jeudi Ng de Microsoft.
Adamski et Josh Zaritsky, directeur des opérations du NSA Cybersecurity Collaboration Center, ont exhorté les défenseurs des réseaux à gérer et auditer leurs journaux système pour détecter toute activité anormale et à stocker les journaux afin qu’un attaquant ne puisse pas les supprimer. et accéder au système et effectuer des recherches. pour brouiller leurs traces.
Les deux hommes ont également mis l’accent sur les meilleures pratiques telles que l’authentification à deux facteurs et la limitation des privilèges système des utilisateurs et des administrateurs afin de réduire la probabilité que des attaquants puissent compromettre et exploiter les comptes en premier lieu. Et il a souligné que non seulement les vulnérabilités logicielles doivent être corrigées, mais qu’il est important de revenir en arrière et de vérifier les journaux et les journaux pour s’assurer qu’il n’y a aucun signe d’exploitation de bogues avant de les corriger.
« Nous avons besoin que les fournisseurs de services Internet, les fournisseurs de cloud, les sociétés de terminaux, les sociétés de cybersécurité, les fabricants d’appareils, tout le monde se joigne à ce combat. Et c’est un combat pour nos infrastructures américaines critiques », a déclaré Adamski. “Les produits, les services sur lesquels nous comptons, tout compte, c’est pourquoi c’est important.”
Be First to Comment