La découverte de logiciels malveillants cachés dans les infrastructures de télécommunication américaines en 2023 avait sonné l'alerte. Grâce à l'action de groupes de hackers, la Chine semblait êre en capacité de perturber les réseaux de communications entre les bases militaires américaines dans le Pacifique dans le cas où l'île de Taiwan deviendrait un enjeu militaire.
Plus largement, les opérations de hackers chinois cherchent à infiltrer des infrastructures sensibles, civiles ou militaires, pour mener des opérations d'espionnage ou de désorganisation.
Début 2024, le FBI avait démantelé un botnet de routeurs vérolés piloté par le groupe de hackers chinois Volt Typhoon qui mène des infiltrations de réseau et des cyberattaques depuis 2021.
Volt Typhoon refait parler de lui
Des infrastructures de gestion de l'eau et de l'énergie avaient été ciblées en piratant des centaines de routeurs Cisco et Netgear dont les correctifs de sécurité n'étaient pas à jour.
La riposte avait été menée en désactivant en une fois les équipements compromis, détruisant les malwares introduits et verrouillant les appareils pour éviter qu'ils soient réinfectés.
Le groupe de hackers, semblant avoir été atteint dans ses moyens d'action, était repassé sous les radars...jusqu'à ces dernières semaines. Il s'est de nouveau manifesté en s'attaquant à d'anciens routeurs Cisco pour tenter d'infiltrer le réseau de l'opérateur Singtel (Singapore Telecommunications).
L'opération est vue comme un retour en force du groupe Volt Typhoon et un galop d'essai des techniques en vue de s'attaquer ensuite à des entreprises de télécommunications américaines.
Recrudescence d'activité chinoise
Repérée par SecurityScorecard, l'attaque a ciblé des routeurs Cisco et Netgear en fin de vie commerciale et qui ne sont plus mis à jour. Le rapport de sécurité note qu'en 37 jours, près d'un tiers des routeurs accessibles ont été compromis pour servir de points d'entrée aux hackers.
Ils ne semblent pas utiliser de nouvelles failles (CVE ou Common Vulnerabilities and Exposures), ce qui laisse penser qu'ils exploitent des vulnérabilités connues mais non patchées sur ces vieux équipements.
Cette résurgence interroge sur la reconstruction d'un botnet qui pourrait de nouveau cibler les réseaux et infrastructures américaines, à un moment où les signalements d'une hausse des activités chinoises de cyberespionnage a été notée aux Etats-Unis et ailleurs.
Un autre groupe de hackers chinois, Salt Typhoon, est ainsi à l'origine d'un vaste piratage des réseaux de différents opérateurs télécom américains en octobre dernier.