Infrastructure Critique

Selon l’agence roumaine de cybersécurité, une attaque par ransomware a visé l’Administrația Națională Apele Române (Apele Române), l’administration nationale des eaux, avec des travaux de remédiation toujours en cours. L’agence roumaine de cybersécurité a confirmé qu’une attaque ransomware majeure a touché l’Administrația Națională Apele Române (ANAR), l’organisme public chargé de la gestion des ressources en eau du pays. Environ 1 000 systèmes informatiques ont été compromis, et les opérations de remédiation sont toujours en cours. ...

Source et contexte — The Register publie une analyse sur le rapport du Joint Committee on National Security Strategy (JCNSS) du Parlement britannique, qui avertit que le gouvernement est « trop timide » dans la protection des câbles sous-marins acheminant l’essentiel du trafic internet du pays et environ £220 milliards de transactions financières par jour. Le rapport souligne des vulnérabilités structurelles: 64 câbles relient le Royaume‑Uni au reste du monde, avec 75 % du trafic transatlantique passant par deux câbles atterrissant à Bude (Cornouailles). Bien que la redondance permette de rerouter en cas d’incident et qu’il n’y ait « pas de menace imminente » pour la connectivité nationale, l’accent est mis sur la capacité d’absorption des chocs et le risque d’atteintes coordonnées, notamment si les liaisons vers l’Europe étaient visées. Les dommages accidentels (pêche, ancres) sont fréquents — environ 200 pannes par an — et les satellites ne représentent qu’environ 5 % du trafic mondial. ...

Selon SecurityAffairs, les agences NSA (États-Unis), NCSC (Royaume‑Uni) et des alliés publient un avis conjoint intitulé “Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System” reliant des opérations d’APT chinoises (dont Salt Typhoon) à des intrusions contre les secteurs télécom, gouvernement, transport, hôtellerie et militaire. 🚨 Les activités décrites chevauchent les groupes suivis comme Salt Typhoon, OPERATOR PANDA, RedMike, UNC5807 et GhostEmperor. L’avis associe aussi ces opérations à des entités chinoises telles que Sichuan Juxinhe Network Technology Co. Ltd., Beijing Huanyu Tianqiong Information Technology Co., Ltd., et Sichuan Zhixin Ruijie Network Technology Co., Ltd.. Les acteurs tirent parti de CVE connues et de mauvaises configurations (plutôt que de 0‑day), avec une focalisation sur les équipements en bordure de réseau et une possible extension aux produits Fortinet, Juniper, Microsoft Exchange, Nokia, Sierra Wireless, SonicWall. Les défenseurs sont exhortés à prioriser le patching des CVE historiquement exploitées. ...

Selon foreignaffairs.com, Anne Neuberger soutient que la Chine a pris un net avantage dans l’espace cyber, illustré par l’opération « Salt Typhoon » contre des opérateurs télécoms américains, et plaide pour une nouvelle stratégie de dissuasion américaine fondée sur des défenses alimentées par l’IA et des capacités offensives clairement signalées. — Salt Typhoon et portée de la menace — • L’opération « Salt Typhoon » a permis à des acteurs liés à l’État chinois de pénétrer profondément des réseaux télécoms américains, de copier des conversations et de bâtir une capacité de suivi des déplacements d’agents du renseignement et des forces de l’ordre. L’ampleur complète de l’accès obtenu resterait incertaine. • Au-delà de l’espionnage télécoms, des malwares chinois ont été découverts dans des systèmes d’énergie, d’eau, d’oléoducs et de transport aux États-Unis, suggérant un prépositionnement pour sabotage visant à perturber la vie quotidienne et les opérations militaires en cas de crise. ...

SecurityAffairs rapporte que la Police de sécurité norvégienne (PST) attribue à des hacktivistes pro‑russes la prise de contrôle d’un barrage en avril 2025 en Norvège, une action qualifiée de démonstrative visant à influencer et à semer l’inquiétude plutôt qu’à détruire. Le 7 avril, des attaquants ont pris la main sur un barrage à Bremanger (ouest de la Norvège) et ont ouvert une vanne d’évacuation, libérant environ 500 litres d’eau par seconde pendant quatre heures, avant d’être stoppés. Aucune victime n’a été signalée. L’incident met en lumière la sensibilité de l’infrastructure énergétique hydraupouvoir du pays. 💧⚡ ...

L’article de Channel News Asia rapporte que Singapour a décidé d’identifier le groupe de menace cybernétique UNC3886 en raison de la gravité de la menace qu’il représente pour le pays. Le ministre de la Sécurité nationale, K Shanmugam, a déclaré que bien qu’il ne soit pas dans l’intérêt de Singapour de nommer un pays spécifique lié à ce groupe, il était crucial d’informer le public de l’existence de cette menace. ...

Cet article de Trend Micro met en lumière les activités du groupe APT UNC3886, qui cible les infrastructures critiques dans les secteurs des télécommunications, gouvernement, technologie et défense, avec un focus récent sur Singapour. UNC3886 utilise des vulnérabilités zero-day dans les systèmes VMware vCenter/ESXi, Fortinet FortiOS et Juniper pour mener des attaques sophistiquées. Ils déploient un ensemble d’outils personnalisés pour maintenir un accès persistant et contourner les défenses avancées. Les outils utilisés incluent le backdoor TinyShell basé sur Python pour un accès à distance via HTTP/HTTPS, le rootkit Reptile pour le masquage de processus/fichiers et les capacités de port knocking, et le rootkit Medusa pour les portes dérobées PAM et la journalisation des authentifications. ...

Sygnia, une entreprise spécialisée en cybersécurité, a identifié un acteur menaçant sophistiqué nommé Fire Ant, lié à la Chine, menant des campagnes d’espionnage contre des organisations d’infrastructures critiques. Fire Ant utilise des méthodes d’attaque centrées sur l’infrastructure pour compromettre les hôtes VMware ESXi et les serveurs vCenter, extrayant des identifiants de comptes de service et déployant des portes dérobées persistantes qui survivent aux redémarrages système. L’acteur contourne la segmentation réseau en compromettant des appareils réseau et en établissant des tunnels à travers des segments de réseau via des chemins légitimes. Leurs outils et techniques s’alignent étroitement avec UNC3886, exploitant des vulnérabilités spécifiques de vCenter/ESXi. ...

Selon un mémo du Department of Homeland Security obtenu par Property of the People et rapporté par Reuters, un groupe de cyberespionnage chinois surnommé “Salt Typhoon” a infiltré le réseau de la Garde nationale d’un État américain entre mars et décembre 2024. Les hackers ont compromis de manière extensive le réseau, exfiltrant des cartes et des données de trafic avec les réseaux de chaque autre État américain et d’au moins quatre territoires américains. Cette intrusion soulève des préoccupations quant à la capacité de Salt Typhoon à paralyser les infrastructures critiques américaines en cas de conflit avec la Chine. ...

Lors d’une session clé de l’événement Infosecurity Europe 2025, Paul Chichester, directeur des opérations au National Cyber Security Centre (NCSC) du Royaume-Uni, a souligné l’importance pour les dirigeants d’entreprise de suivre l’évolution géopolitique afin d’adapter leurs stratégies de cybersécurité. Chichester a mis en garde contre l’intensification des efforts des États connus pour soutenir des groupes de hackers, visant notamment les infrastructures critiques. Il a particulièrement mis en avant les capacités cybernétiques accrues de la Russie, qui a profité de l’invasion de l’Ukraine pour affiner ses techniques offensives, ainsi que la menace posée par les groupes soutenus par la Chine. ...