China, Chinese Hackers, Chinese Flag, Cables, Barbed Wire

Groupe de piratage chinois Salt Typhoon L’expansion invite à un avis multinational

Lucas Morel

Notoire pour vioder les principaux télécommunications américaines et les FAI, les acteurs de la menace ont désormais infiltré les infrastructures néerlandaises, et les autorités mondiales préviennent que sa portée pourrait s’étendre encore plus.

Le groupe de piratage chinois omniprésent Salt Typhoon continue de frapper, cette fois en vue des Pays-Bas.

Les autorités du renseignement néerlandais ont confirmé que les cyber-acteurs avaient accédé aux routeurs appartenant à des services Internet et aux fournisseurs d’hébergement plus petits.

Cela fait suite à un avertissement frappant des agences de renseignement dans plus d’une douzaine de pays sur les dangers du typhon de sel, également connu sous le nom de Ghosttemperor, l’opérateur Panda et Redmike, ainsi que la confirmation que le groupe a été actif au Royaume-Uni. Les experts notent que l’expansion du groupe reflète un schéma troublant d’inaction parmi les secteurs public et privé en matière de cybersécurité.

«Le problème fondamental ici est que les éléments clés de notre infrastructure critique, par exemple des technologies de réseau comme les routeurs principaux, restent beaucoup trop faciles à compromettre et à gagner de la persistance», a déclaré David Shipley de Beauceron Security. «Le succès rampant de la Chine est le projet de loi en raison de l’insécurité par conception.»

Infrastructure critique, communications sensibles ciblées

Cette semaine, des agences de renseignement aux États-Unis, au Royaume-Uni, au Canada, en Australie, en Nouvelle-Zélande, en Finlande, en Allemagne, en Italie, en République tchèque, au Japon, en Pologne, en Espagne et aux Pays-Bas ont publié un avis conjoint de cybersécurité concernant le typhon de Salt.

Le groupe est devenu notoire après avoir violé les principaux fournisseurs de services de télécommunications et de services Internet américains (FAI), notamment AT&T, Verizon, T-Mobile, Lumen Technologies, Charter, Consolidated et Windstream Communications ces derniers mois pour tenter d’accéder aux communications sensibles. Ils ont également piraté la Garde nationale américaine pendant 9 mois et accédé à des réseaux dans chaque État, volant des informations d’identification, des données personnelles et des diagrammes de réseau.

Les gouvernements ont lié les activités du groupe à plusieurs entités chinoises, y compris celles qui soutiennent l’Armée populaire de libération (APL) et le ministère de la Sécurité des États chinois (MSS). Les autorités mondiales ont identifié trois sociétés technologiques basées en Chine derrière la campagne qui fournissent des services «cyber-liés» aux organisations de renseignement du pays et font partie d’un écosystème commercial plus large composé de sociétés informatiques, de courtiers de données et de pirates pour la location.

Ces acteurs avancés de menace persistante (APT), comme les agences de renseignement ont choisi de les appeler, ont été actives au Canada, en Australie et en Nouvelle-Zélande en plus des États-Unis et du Royaume-Uni.

Les agences de renseignement aux Pays-Bas, pour leur part, ont souligné que les entreprises ciblées dans leur région n’étaient pas de grands fournisseurs de télécommunications comme ils l’ont été ailleurs, et semblaient indiquer que le problème n’était pas répandu ou aussi important que les attaques précédentes. Ils ont indiqué que Salt Typhoon ne semble pas avoir pénétré dans les réseaux des entreprises ciblées après avoir accédé à leurs routeurs.

« Les organisations néerlandaises n’ont probablement pas reçu le même niveau d’attention des pirates de typhon de sel que ceux des États-Unis », a noté le service de renseignement et de sécurité militaire des Pays-Bas (MIVD) et le service général de renseignement et de sécurité (AIVD) dans un rapport.

Ils ont ajouté que les renseignements sur les menaces ont été partagés avec les entreprises touchées et «d’autres publics pertinents».

Ivanti, Palo Alto Networks, Cisco Flaws Exploited

Salt Typhoon est actif depuis au moins 2021, ciblant les infrastructures critiques dans les télécommunications, les transports, le gouvernement et les organismes militaires du monde entier. Notamment, un «groupe d’activités» a été observé au Royaume-Uni, selon le National Cyber ​​Security Center du pays.

Le groupe a connu un «succès considérable» avec des «n-days» ou des vulnérabilités connues qui n’ont pas encore de correctif, par opposition à s’appuyer sur des logiciels malveillants sur mesure ou sur des vulnérabilités zéro-jour (problèmes de sécurité qui n’ont pas encore été identifiés par les développeurs), exploitant des défauts dans des appareils de pointe du réseau, notamment des appareils de sécurité et des routeurs, ainsi que dans des serveurs privés virtuels. Notamment, ils ont ciblé les défauts dans Ivanti Connect Secure et Ivanti Policy Secure; Palo Alto Networks Pan-OS GlobalProtect; et Cisco iOS et iOS XE.

Ils profitent ensuite des appareils compromis et des connexions de confiance ou privées, telles que des liens fournisseur à fournisseur ou fournisseur à client, à pivoter dans d’autres réseaux. Leur activité implique un «accès persistant à long terme» aux réseaux, selon les autorités.

Cibles clés

Plus précisément, ils semblent cibler:

  • Mots de passe; Contenu utilisateur; enregistrements clients; inventaires; configurations et fichiers de périphériques; et listes de fournisseurs.
  • Interfaces de routeur;
  • Trafic réseau en transit; séances de protocole de réservation de ressources (RSVP); et les routes du protocole de passerelle Border Gateway (BGP).
  • Protocoles d’authentification et service utilisateur d’authentification à distance (RADIUS) qui autorise et authentifie les utilisateurs de réseau distant.
  • Bases d’informations gérées ou bases de données qui gèrent les entités.

« Les données volées par cette activité peuvent finalement fournir aux services de renseignement chinois la capacité d’identifier et de suivre les communications et les mouvements des cibles dans le monde », a averti le National Cyber ​​Security Center du Royaume-Uni. Par conséquent, les agences mondiales de renseignement sur les menaces conseillent que les entreprises effectuent une surveillance approfondie des modifications de configuration, des conteneurs virtualisés, des services réseau et des tunnels, de l’intégrité du firmware et des logiciels et des journaux.

Recommandations

Les autorités conseillent également aux organisations de

  • Examiner régulièrement les appareils, les routeurs, les journaux et les configurations du réseau pour «une activité inattendue, non approuvée ou inhabituelle»;
  • Utilisez un «processus de gestion des changements robuste» qui comprend l’audit périodique des configurations de périphériques;
  • Désactiver les connexions sortantes à partir des interfaces de gestion;
  • Modifier toutes les informations d’identification administratives par défaut;
  • Exiger une authentification par clé publique pour les rôles administratifs;
  • Désactiver l’authentification du mot de passe;
  • Utilisez la version recommandée par le fournisseur du système d’exploitation du périphérique réseau et continuez-le.

Le «changement climatique de la technologie»

Les attaques continues de cette ampleur de Salt Typhoon et d’autres se résume à un manque d’incitations pour les principaux fournisseurs de technologies de la société de réseautage pour créer des mécanismes d’authentification et une résilience plus robustes, a déclaré Shipley de Beauceron.

Le coût pour construire une économie numérique plus sécurisée est une facture que les entreprises ne sont tout simplement pas prêtes à payer, «jusqu’à ce qu’il soit trop tard», a-t-il noté.

« Internet et les réseaux d’entreprise se comportent toujours comme si nous étions dans les années 1990 », a-t-il déclaré. «Il ne se comporte pas comme le système nerveux numérique vital pour l’économie mondiale et la société.»

« C’est le changement climatique de la technologie, un problème trop grand public n’apprécie pas la résolution, et quelque chose qui nécessite le type de consensus pour l’action presque incroyablement insaisissable », a déclaré Shipley.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Les packages NPM malveillants contiennent un voleur d'informations Vidar
Les packages NPM malveillants contiennent un voleur d’informations Vidar
Cloud strategy questions
Pourquoi les entreprises ne parviennent-elles pas à résoudre le problème de mauvaise configuration du cloud ?
Les RSSI vom ERP-Leid profitent
Les RSSI vom ERP-Leid profitent