Le FBI a démantelé un vaste réseau d’appareils compromis que des hackers soutenus par l’État chinois ont utilisés pendant quatre ans pour mener des attaques contre des agences gouvernementales, des entreprises de télécommunications, des entrepreneurs en défense et d’autres cibles aux États-Unis et à Taïwan.
La botnet était principalement composée de routeurs de petits bureaux et de bureaux à domicile, de caméras de surveillance, de dispositifs de stockage en réseau et d’autres appareils connectés à Internet situés à travers le monde. Au cours des quatre dernières années, ont déclaré des responsables américains, 260 000 de ces dispositifs ont circulé dans ce réseau sophistiqué, qui est organisé en trois niveaux permettant à la botnet d’opérer avec efficacité et précision. À son apogée en juin 2023, Raptor Train, comme on l’appelle, se composait de plus de 60 000 appareils réquisitionnés, selon des chercheurs de Black Lotus Labs, ce qui en fait la plus grande botnet d’État chinois découverte à ce jour.
La destruction de la maison
Raptor Train est la deuxième botnet opérée par l’État chinois que les autorités américaines ont démantelée cette année. En janvier dernier, des officials de la loi ont secrètement émis des instructions pour désinfecter des appareils de l’Internet des objets que des hackers soutenus par le gouvernement chinois avaient pris le contrôle sans la connaissance des propriétaires. Ces hackers, membres d’un groupe suivi sous le nom de Volt Typhoon, ont utilisé la botnet pendant plus d’un an comme plateforme pour livrer des exploits s’introduisant profondément dans les réseaux de cibles d’intérêt. Comme les attaques semblent provenir d’adresses IP avec une bonne réputation, elles échappent à un contrôle renforcé de défenses de sécurité réseau, faisant des bots un proxy de livraison idéal. Des hackers soutenus par la Russie ont également été surpris en train de rassembler de grandes botnets IoT pour des raisons similaires.
Un avis conjointement émis mercredi par le FBI, la Cyber National Mission Force et la National Security Agency a déclaré que la société basée en Chine, Integrity Technology Group, contrôlait et gérait Raptor Train. La société aurait des liens avec la République populaire de Chine, selon les responsables. De plus, ils ont mentionné que cette société avait également utilisé les adresses IP du réseau Beijing Province de China Unicom, contrôlé par l’État, pour gérer la botnet. Les chercheurs et les forces de l’ordre suivent le groupe d’État chinois qui a travaillé avec Integrity Technology sous le nom de Flax Typhoon. Plus de la moitié des dispositifs infectés de Raptor Train étaient situés en Amérique du Nord et un autre 25 % en Europe.
“Flax Typhoon ciblait des infrastructures critiques à travers les États-Unis et à l’étranger, allant des corporations aux organisations médiatiques, en passant par les universités et les agences gouvernementales,” a déclaré le directeur du FBI, Christopher Wray, mercredi lors de l’Aspen Cyber Summit. “Comme Volt Typhoon, ils utilisaient des dispositifs connectés à Internet, cette fois des centaines de milliers, pour créer une botnet qui les aidait à compromettre des systèmes et à exfiltrer des données sensibles.” Il a ajouté : “Les actions de Flax Typhoon ont causé de réels dommages à ses victimes, qui ont dû consacrer un temps précieux à réparer les dégâts.”
Pendant ma carrière de journaliste, j’ai souvent observé à quel point les cybermenaces peuvent évoluer et s’adapter. Il est alarmant de réaliser que des groupes organisés exploitent des failles de sécurité dans des appareils du quotidien, mettant ainsi en péril non seulement des informations sensibles mais aussi la confiance du public dans les technologies sur lesquelles nous comptons. En tant que citoyens, nous devons rester vigilants et informés sur ces enjeux pour protéger notre vie privée et notre sécurité en ligne.