Microsoft affirme qu’un acteur chinois parrainé par l’État cible les infrastructures critiques aux États-Unis

Microsoft a annoncé que Volt Typhoon, un acteur parrainé par l’État chinois, cible les organisations d’infrastructures critiques aux États-Unis. La société a déclaré que Volt Typhoon développait des capacités pour perturber les infrastructures de communication critiques entre les États-Unis et l’Asie – une capacité qui pourrait s’avérer utile lors d’une crise impliquant la Chine.

La campagne malveillante se poursuit depuis la mi-2021 et cible des organisations à Guam et dans le reste des États-Unis. Les entreprises touchées couvrent plusieurs secteurs, notamment les communications, la fabrication, les services publics, les transports, la construction, le maritime, le gouvernement, les technologies de l’information et l’éducation.

Microsoft Defender Antivirus et Microsoft Defender for Endpoint permettront aux utilisateurs de savoir s’ils ont été compromis par Volt Typhoon. Sur Microsoft Defender Antivirus, les éléments suivants sont liés à Volt Typhoon :

• Comportement : Win32/SuspNtdsUtilUsage.A
• Comportement : Win32/SuspPowershellExec.E
• Comportement : Win32/SuspRemoteCmdCommandParent.A
• Comportement :Win32/UNCFilePathOperation
• Comportement :Win32/VSSAmsiCaller.A
• Comportement : Win32/WinrsCommand.A
• Comportement :Win32/WmiSuspProcExec.J!se
• Comportement : Win32/WmicRemote.A
• Comportement : Win32/WmiprvseRemoteProc.B

Si vous utilisez Microsoft Defender pour Endpoint, vous verrez l’alerte suivante :

• L’acteur de la menace Volt Typhoon a été détecté

Volt Typhoon peut également provoquer les invites suivantes sur Microsoft Defender pour Endpoint, mais ce n’est pas nécessairement la cause :

• Une machine a été configurée pour transférer le trafic vers une adresse non locale
• Ntdsutil collecte des informations Active Directory
• Hachages de mot de passe vidé de la mémoire LSASS
• Utilisation suspecte de wmic.exe pour exécuter du code
• Boîte à outils Impacket

Si vous avez été affecté par Volt Typhoon, vous devez fermer ou modifier les informations d’identification de tous les comptes compromis. Il est également conseillé aux utilisateurs d’examiner l’activité des comptes compromis pour voir ce que les pirates ont pu faire.

Si vous n’avez pas mis en place les mesures de sécurité appropriées, vous ne saurez peut-être jamais que les pirates ont déjà pénétré dans votre système. Microsoft a déclaré que la campagne se faisait furtivement, notamment en se fondant dans l’activité normale du réseau en acheminant le trafic via des équipements réseau tels que des routeurs, des pare-feu et du matériel VPN.

Microsoft a détaillé en détail l’activité de Volt Typhoon. Si vous souhaitez approfondir les détails plus techniques, assurez-vous de lire le billet de blog de Microsoft.