Verizon, AT&T, Lumen Technologies : pendant des mois, ces trois grands acteurs américains des télécoms ont vu leurs réseaux piratés par un groupe de cybercriminels chinois. Une enquête du Wall Street Journal l’a mis au jour, citant des sources proches du dossier. Plus précisément, les hackers issus du groupe Salt Typhoon ont obtenu des informations provenant de systèmes utilisés par le gouvernement pour réaliser des écoutes téléphoniques autorisées par la justice.
Ce groupe de cybercriminels récemment découvert est considéré comme l’une des plus dangereuses antennes cyber de l’État chinois. Les impacts de l’intrusion dans les réseaux télécoms américains pourraient être catastrophiques. En effet, les pirates auraient potentiellement eu accès à une partie des données du gouvernement américain, y compris le nom des cibles chinoises sous surveillance américaine.
Cinq groupes du réseau “Typhoon” pour l’heure découverts
Salt Typhoon n’est pas le seul groupe affilié à l’État chinois à être dans le viseur des grandes agences de cybersécurité. Ces dernières ont publié en février un rapport choc, indiquant que les pirates de Volt Typhoon, cette fois-ci, avaient infiltré certaines infrastructures critiques américaines pendant au moins 5 ans. Les hackers chinois ont alors pu accéder à des infrastructures spécialisées dans les secteurs de l’énergie (pipelines, pétrole, gaz naturel), des transports (aviation, chemins de fer, transports en commun et maritimes), mais aussi de l’approvisionnement en eau.
Les pirates informatiques de Volt Typhoon ont un mode opératoire particulier : ils ciblent de petites structures, plus vulnérables, qui fournissent des services à des sociétés plus stratégiques. Quelques jours avant la publication du rapport, le FBI avait démantelé un botnet de Volt Typhoon composé de centaines de routeurs en fin de vie, majoritairement fabriqués par Cisco et NetGear.
Flax Typhoon vise les organisations du monde entier
En septembre, le FBI a mené une opération policière pour démanteler un autre réseau de botnets, contrôlé par un autre groupe de menace soutenu par l’État chinois : Flax Typhoon. Les chercheurs de Lumen Technologies ont annoncé que ce botnet était composé à la fois de routeurs de bureau, d’enregistreurs vidéo et de serveurs de stockage en réseau.
À la différence des deux premiers groupes, Flax Typhoon vise des organisations du monde entier : sur les 260 000 appareils contrôlés, nombre d’entre eux étaient situés en Europe, dont 5600 en France. D’après Microsoft, Flax Typhoon cible aussi régulièrement les infrastructures taïwanaises, notamment “les agences gouvernementales et organisations du secteur de l’éducation, de la fabrication critique et des technologies de l’information”.
Pékin dénonce une “campagne de désinformation”
Le groupe d’analyse de menaces de Microsoft a par ailleurs rendu un rapport en février sur la manière dont les grands modèles de langage (LLM) pouvaient faciliter le travail des hackers. Deux groupes affiliés au gouvernement chinois sont pointés du doigt : Charcoal Typhoon et Salmon Typhoon. Le premier utilise les LLM pour ses opérations d’ingénierie sociale, et vise principalement les établissements d’enseignement supérieur ou infrastructures énergétiques, y compris en France. Salmon Typhoon, quant à lui, utilise les LLM à des fins de renseignement et cible en grande partie les sous-traitants de la défense américaine.
Le Centre chinois de réponse aux urgences en matière de virus informatiques a déclaré hier dans un rapport que “plus de 50 experts en cybersécurité du monde entier” s’accordaient pour dire qu’il n’y avait pas assez de preuves pour que l’intrusion de Volt Typhoon lui soit incombée. Elle qualifie même ces accusations de “farce politique” orchestrée par Washington. Même chose pour le groupe de hackers Flax Typhoon. Ce dernier opère pourtant sous couvert d’une société pékinoise cotée sur le Shanghai Stock Exchange, Integrity Technology Group, soupçonnée de travailler avec le gouvernement chinois.