Les pirates chinois ont volé des diagrammes de réseau, des informations d’identification et des données de personnel dans une violation qui constitue une menace pour les infrastructures critiques à l’échelle nationale.
Salphoon Salt Typhoon soutenu par le chinois a compromis le réseau de la Garde nationale de l’armée de l’État américain pendant neuf mois, volant des données militaires sensibles et accédant à des réseaux dans tous les autres États américains et au moins quatre territoires, selon un mémo du ministère de la sécurité intérieure qui a prévenu que la violation pourrait faciliter les attaques contre les infrastructures critiques à l’état national.
Le mémo du DHS, daté du 11 juin, a déclaré que entre mars et décembre 2024, Salt Typhoon «compromissait largement le réseau de la Garde nationale de l’armée américaine et, entre autres, a collecté sa configuration de réseau et son trafic de données avec les réseaux de ses homologues dans tous les autres États américains et au moins quatre territoires américains.»
Le document a été obtenu par la propriété à but non lucratif de la transparence de la sécurité nationale de la population et rapportée pour la première fois par NBC News. Auparavant, Salt Typhoon a été lié à plusieurs campagnes d’espionnage approfondies contre les infrastructures critiques américaines, notamment les violations de grandes sociétés de télécommunications telles que AT&T, Verizon et Lumen Technologies.
« La Garde nationale est consciente du récent ministère de la Défense et du reportage du ministère de la Sécurité intérieure concernant le groupe de piratage de la République populaire de la Chine, Salt Typhoon, et leur ciblage des réseaux de la Garde nationale de l’armée entre mars et décembre 2024 », a déclaré le porte-parole d’une garde nationale. «Bien que nous ne puissions pas fournir de détails spécifiques sur l’attaque ou notre réponse à celle-ci, nous pouvons dire que cette attaque n’a pas empêché la Garde nationale de réaliser des missions d’État ou fédérales assignées, et que NGB continue d’étudier l’intrusion pour déterminer sa portée complète. Nous prenons cette question très sérieusement.
Fait partie d’une campagne plus large contre les infrastructures critiques
La violation de la Garde nationale représente une partie d’une campagne de typhon de sel beaucoup plus grande ciblant le gouvernement américain et des entités d’infrastructures critiques. Selon le mémo, «en 2023 et 2024, Salt Typhoon a également volé 1 462 fichiers de configuration du réseau associés à environ 70 entités du gouvernement américain et des infrastructures critiques de 12 secteurs, notamment l’énergie, les communications, le transport et l’eau et les eaux usées.»
Ces fichiers de configuration représentent une menace importante car ils «pourraient permettre une exploitation supplémentaire des réseaux informatiques d’autres réseaux, y compris la capture de données, la manipulation du compte administrateur et le mouvement latéral entre les réseaux», a expliqué le document.
La violation présente des risques particuliers pour les défenses de cybersécurité américaines en raison du double rôle fédéral de l’État fédéral de la Garde nationale et des liens approfondis avec les systèmes gouvernementaux locaux. Le mémo a averti que «le succès du typhon de Salt dans le compromis des réseaux de la Garde nationale de l’armée des États-Unis pourrait saper les efforts locaux de cybersécurité pour protéger les infrastructures critiques».
Cette préoccupation est renforcée par le fait que «dans certains États, les unités de la Garde nationale de l’armée sont intégrées aux centres de fusion d’État responsables du partage des informations sur les menaces – y compris les cyber-menaces», a noté le mémo. Dans au moins un État, «l’unité de la Garde nationale de l’armée locale fournit directement les services de défense du réseau», ce qui rend la violation particulièrement concernant la protection critique des infrastructures.
Données militaires sensibles volées
Les attaquants ont eu accès à des informations militaires et d’infrastructures très sensibles au cours de l’intrusion de neuf mois. Le mémo a déclaré que «en 2024, Salt Typhoon a utilisé son accès à un réseau de la Garde nationale de l’armée de l’État américain pour exfiltrer les références administratrices, les diagrammes de trafic réseau, une carte des emplacements géographiques dans tout l’État et des PII de ses militaires.»
Au-delà du vol de données immédiat, la note de service a averti que l’accès du typhon de Salt à ces réseaux «pourrait inclure des informations sur la posture de cyber-défense de l’État ainsi que les informations personnellement identifiables (PII) et les lieux de travail du personnel de cybersécurité de l’État – des données qui pourraient être utilisées pour éclairer les efforts de cyber-ciblage.»
Le compromis «a probablement fourni à Pékin des données qui pourraient faciliter le piratage des unités de la Garde nationale de l’armée d’autres États, et peut-être bon nombre de leurs partenaires de cybersécurité au niveau de l’État», a noté le mémo.
Modèle d’exploitation établi
Salt Typhoon a démontré une méthodologie cohérente de l’utilisation des données du réseau volées pour permettre des attaques de suivi. Le mémo a noté que «le typhon de sel a précédemment utilisé des fichiers de configuration de réseau exfiltrés pour activer les cyber-intrusions ailleurs».
Plus précisément, «Entre janvier et mars 2024, Salt Typhoon a exfiltré des fichiers de configuration associés à d’autres entités du gouvernement américain et aux infrastructures critiques, y compris au moins deux agences gouvernementales de l’État américain. Au moins l’un de ces fichiers a informé leur compromis un dispositif vulnérable sur un autre réseau de l’agence gouvernementale américaine.»
Le mémo a expliqué que l’accès aux fichiers de configuration «peut fournir à un acteur de menace des informations sensibles telles que les informations d’identification, les détails de la topologie du réseau et les paramètres de sécurité dont ils ont besoin pour obtenir et maintenir l’accès, ainsi qu’à exfiltrer les données.»
Le document a mis en garde contre les conséquences graves si Salt Typhoon réussissait à compromettre les partenaires de cybersécurité au niveau de l’État, déclarant que «la capacité des partenaires de la cybersécurité de l’État pourrait les islader pour les infrastructures critiques américaines contre les cyber campagnes de la RPC en cas de crise ou de conflit».
Cette menace est particulièrement préoccupante étant donné la nature interconnectée des opérations de cybersécurité des États et des États, où une violation dans un système peut potentiellement se casser sur plusieurs réseaux et juridictions.
Méthodes techniques et vulnérabilités
Le mémo a fourni des détails techniques sur les méthodes d’attaque de Salt Typhoon, notant que depuis 2023, le groupe «a exploité un certain nombre de vulnérabilités et d’expositions communes différentes (CVE) à l’aide d’une gamme de adresses de protocole Internet (IP) louées pour masquer son activité.»
Le document comprenait des CVE spécifiques exploités par le groupe, notamment CVE-2018-0171, CVE-2023-20198, CVE-2023-20273 et CVE-2024-3400, ainsi que des adresses IP malveillantes associées.
Pour la défense contre de telles attaques, le mémo a recommandé que «les défenseurs du réseau soient les meilleures pratiques pour durcir leurs dispositifs de réseau contre la cyber d’exploitation et pour maintenir un véritable audit et une journalisation de l’activité du réseau.»
La publication du mémo intervient alors que l’administration Trump a dissoute le Cyber Sécurité Revue, qui avait enquêté sur les attaques de Salt Typhoon contre les sociétés de télécommunications américaines, limitant potentiellement la surveillance continue de la menace. Le document a averti que le succès de Salt Typhoon dans le compromis des réseaux de la Garde nationale pourrait avoir des conséquences d’une grande portée sur la capacité des États-Unis à défendre les infrastructures critiques pendant une crise ou un conflit avec la Chine.
