Le **National Cyber Security Centre (NCSC-UK)**, ainsi que des partenaires internationaux, a publié un avis conjoint détaillant l'évolution des tactiques, techniques et procédures (TTPs) employées par les acteurs cyber liés à la Chine. Ce changement implique l'exploitation de réseaux à grande échelle d'appareils compromis, désignés comme des "réseaux dissimulés", pour mener des opérations cyber. **Collaboration Internationale :** L'avis est le fruit d'un effort collaboratif impliquant : * Australian Signals Directorate’s (ASD’s) Australian Cyber Security Centre (ACSC) * Communications Security Establishment Canada’s (CSE’s) Canadian Centre for Cyber Security (Cyber Centre) * Germany Federal Office for the Protection of the Constitution - Bundesamt für Verfassungsschutz (BfV) * Germany Federal Intelligence Service – Bundesnachrichtendienst (BND) * Germany Federal Office for Information Security - Bundesamt für Sicherheit in der Informationstechnik (BSI) * Japan National Cybersecurity Office (NCO) - 国家サイバー統括室 * Netherlands General Intelligence and Security Service - Algemene Inlichtingen- en Veiligheidsdienst (AIVD) * Netherlands Defence Intelligence and Security Service - Militaire Inlichtingen- en Veiligheidsdienst (MIVD) * New Zealand National Cyber Security Centre (NCSC-NZ) * Spain National Cryptologic Centre – Centro Criptológico Nacional (CCN) * Sweden National Cyber Security Centre - Nationellt cybersäkerhetscenter (NCSC-SE) * United States Cybersecurity and Infrastructure Security Agency (**CISA**) * United States Department of Defense Cyber Crime Center (DC3) * United States Federal Bureau of Investigation (**FBI**) * United States National Security Agency (**NSA**) L'avis vise à doter les défenseurs de réseau des connaissances et des outils nécessaires pour se protéger contre ces menaces évolutives. **L'essor des réseaux dissimulés** Les acteurs de menace liés à la Chine s'éloignent de plus en plus des infrastructures acquises individuellement, optant plutôt pour des réseaux externes à grande échelle d'appareils compromis. Ces "réseaux dissimulés" se composent principalement de routeurs Small Office Home Office (SOHO), d'appareils Internet of Things (IoT) et d'appareils intelligents compromis. Ces réseaux, également connus sous le nom de botnets, sont utilisés stratégiquement à grande échelle pour faciliter des activités cyber malveillantes. **Fonctionnement des réseaux dissimulés** Les réseaux dissimulés offrent une méthode peu coûteuse, à faible risque et niable pour se connecter à Internet, masquant efficacement l'origine et l'attribution des activités malveillantes. Les acteurs utilisent ces réseaux tout au long de la Cyber Kill Chain, des scans de reconnaissance à la livraison de malware, en passant par la communication avec les malwares et l'exfiltration de données volées. Ils permettent également une navigation anonyme pour la recherche sur les techniques d'exploitation et les victimes. **Raptor Train et Integrity Technology Group** Les preuves suggèrent que des entreprises chinoises de sécurité de l'information sont impliquées dans la création et la maintenance de ces réseaux dissimulés. Le réseau connu sous le nom de **Raptor Train**, qui a infecté plus de 200 000 appareils dans le monde en 2024, était contrôlé par **Integrity Technology Group**. Le **FBI** a évalué que cette entreprise est responsable des activités d'intrusion informatique attribuées aux pirates basés en Chine connus sous le nom de Flax Typhoon. **Appareils vulnérables et le botnet KV** Ces réseaux dissimulés exploitent souvent des vulnérabilités dans les routeurs SOHO, les appareils IoT (comme les webcams et les enregistreurs vidéo), les pare-feu et les appareils de stockage en réseau (NAS). Le botnet KV, utilisé par Volt Typhoon, ciblait principalement les routeurs **Cisco** et **NetGear** vulnérables qui étaient "en fin de vie" et ne recevaient plus de mises à jour de sécurité. **Le défi de l'extinction des indicateurs de compromission (IOC)** **Mandiant Intelligence** a mis en évidence le problème de l'extinction des indicateurs de compromission (IOC) dans un article de blog de mai 2024. La nature dynamique de ces réseaux, avec potentiellement des centaines de milliers de points d'extrémité utilisés par plusieurs acteurs de menace, rend les stratégies de défense réseau traditionnelles, telles que les listes statiques d'adresses IP malveillantes, moins efficaces. **Topologie réseau typique** Bien que les détails spécifiques de chaque réseau dissimulé varient, ils suivent généralement une structure similaire : * **Nœud d'accès/d'entrée :** Le point de connexion initial au réseau. * **Nœuds de traversée :** Plusieurs appareils compromis qui transfèrent le trafic. * **Nœud de sortie :** Le point où le trafic quitte le réseau, souvent dans la même région géographique que la cible.  **Mesures de protection** La défense contre les attaques provenant de réseaux dissimulés nécessite une approche multidimensionnelle. Les organisations doivent suivre les bonnes pratiques générales de cybersécurité et envisager les mesures spécifiques suivantes : * Mettre en œuvre une surveillance réseau robuste et des systèmes de détection d'intrusion. * Maintenir tous les appareils, y compris les routeurs et les appareils IoT, à jour avec les derniers correctifs de sécurité. * Segmenter les réseaux pour limiter l'impact d'une compromission potentielle. * Appliquer des politiques d'authentification forte et de contrôle d'accès. * Examiner et mettre à jour régulièrement les politiques et procédures de sécurité. Des conseils supplémentaires sont disponibles sur le site web du **NCSC**, ainsi que des considérations relatives aux lois et réglementations applicables.