Des hackers chinois infiltrent la Garde nationale américaine lors d'une cyberattaque majeure

Un mémo confidentiel du Département de la Sécurité intérieure (DHS) révèle qu’un réseau informatique de la Garde nationale de l’armée d’un État américain a été infiltré par un groupe de hackers lié à l’État chinois, connu sous le nom de « Salt Typhoon ».

Le mémo, d’abord rapporté par NBC, a été obtenu par le biais d’une demande de la loi sur la liberté d’information (FOIA) déposée par l’organisation à but non lucratif de transparence en matière de sécurité nationale, Property of the People.

Il indique en outre que les hackers ont « largement compromis le réseau de la Garde nationale de l’armée d’un État américain » pendant neuf mois, de mars à décembre 2024, et sont restés indétectés. Cette violation marque l’une des plus grandes campagnes de cyber-espionnage contre l’infrastructure militaire américaine ces dernières années.

Qu’est-ce que Salt Typhoon

Salt Typhoon est un acteur de menace persistante avancée (ATP) que l’on croit opéré par l’agence de renseignement du ministère de la Sécurité d’État de la Chine (MSS). Il est connu pour mener des campagnes de cyber-espionnage de haut niveau, en particulier contre les États-Unis. Le groupe de hackers se concentre sur la collecte de renseignements et l’accès persistant aux réseaux dans divers secteurs, tels que la défense, l’énergie et les communications.

Qu’est-ce qui a été exposé lors de la violation

Entre mars et décembre 2024, le groupe de hackers a exfiltré des cartes internes et des diagrammes de trafic réseau, décrivant les flux de communication entre les unités de la Garde nationale dans les 50 États et quatre territoires américains.

Il a également volé des identifiants d’administrateur et 1 462 fichiers de configuration réseau avec accès à 70 entités gouvernementales américaines et infrastructures critiques couvrant 12 secteurs, y compris l’énergie, les communications, le transport, l’eau et les eaux usées, qui pourraient être utilisés pour violer les réseaux de la Garde nationale et du gouvernement dans d’autres États.

De plus, des informations personnelles identifiables (PII) de membres du service et des emplacements de personnel de cybersécurité d’État dans plusieurs États ont également été impactés.

« Entre mars et décembre 2024, Salt Typhoon a largement compromis le réseau de la Garde nationale de l’armée d’un État américain et, entre autres choses, a collecté sa configuration réseau et son trafic de données avec les réseaux de ses homologues dans chaque autre État américain et au moins quatre territoires américains, selon un rapport du DOD », indique le mémo.

« Ces données comprenaient également les identifiants d’administrateur de ces réseaux et des diagrammes réseau — qui pourraient être utilisés pour faciliter de futures intrusions de Salt Typhoon dans ces unités. »

Selon le mémo, Salt Typhoon a un historique d’utilisation de topologies réseau volées et de données de configuration pour violer des agences gouvernementales américaines et des systèmes d’infrastructure critiques.

« Salt Typhoon a précédemment utilisé des fichiers de configuration exfiltrés pour permettre des intrusions cybernétiques ailleurs. Entre janvier et mars 2024, Salt Typhoon a exfiltré des fichiers de configuration associés à d’autres entités gouvernementales américaines et infrastructures critiques, y compris au moins deux agences gouvernementales d’État américaines. Au moins un de ces fichiers a ensuite informé leur compromission d’un appareil vulnérable sur le réseau d’une autre agence gouvernementale américaine », a ajouté le mémo.

Pourquoi c’est important

Salt Typhoon n’est pas nouveau — il a précédemment violé de grandes entreprises de télécommunications américaines, y compris AT&T, Verizon et T-Mobile, principalement par le biais d’une vulnérabilité Cisco, ainsi que des systèmes satellites comme Viasat et d’autres fournisseurs de services tant aux États-Unis qu’à l’international.

Réaction et réponse du gouvernement

Le Bureau de la Garde nationale a confirmé la violation mais insiste sur le fait que les missions n’ont pas été perturbées. Une enquête est en cours pour évaluer l’ampleur complète de l’intrusion.

« Bien que nous ne puissions pas fournir de détails spécifiques sur l’attaque ou notre réponse, nous pouvons dire que cette attaque n’a pas empêché la Garde nationale d’accomplir les missions assignées par l’État ou le fédéral, et que le NGB continue d’enquêter sur l’intrusion pour déterminer son ampleur complète », a déclaré un porte-parole du Bureau de la Garde nationale.

De plus, la CISA, le DHS et le Pentagone coordonnent leurs efforts pour contenir la violation et envisagent des mesures de sécurité renforcées, y compris des pare-feu plus robustes, un meilleur cryptage, des contrôles d’accès plus stricts et une mise en œuvre plus large de l’architecture Zero Trust.

Pendant ce temps, un porte-parole de l’ambassade de Chine à Washington n’a pas nié la campagne de hacking, mais a soutenu que les États-Unis n’ont pas produit de preuves concrètes reliant la Chine aux cyberattaques de Salt Typhoon.

« Les cyberattaques sont une menace commune à tous les pays, y compris la Chine », a déclaré le porte-parole, ajoutant que les États-Unis « n’ont pas été en mesure de produire des preuves concluantes et fiables que le ‘Salt Typhoon’ est lié au gouvernement chinois. »