Un avis détaille les activités et techniques utilisées par le groupe de cyberespionnage parrainé par l’État chinois Salt Typhoon qui a violé les fournisseurs de télécommunications, les réseaux militaires et les agences gouvernementales au cours des dernières années.
Les agences gouvernementales de renseignement et de cybersécurité de 13 pays ont publié un avis conjoint détaillant les techniques utilisées par Salt Typhoon, un groupe APT parrainé par l’État chinois qui a ciblé les télécommunications, le gouvernement, le transport, l’hébergement et les réseaux d’infrastructures militaires du monde entier. Les agences ont lié les activités de Salt Typhoon à plusieurs entités chinoises, dont trois sociétés technologiques qui fournissent des produits et services liés à la cyber à l’Armée de libération populaire (APL) et au ministère de la Sécurité des États chinois (MSS).
«Les données ont volé cette activité contre les télécommunications étrangères et les prestataires de services Internet (FAI), ainsi que des intrusions dans les secteurs de l’hébergement et des transports, peuvent finalement fournir aux services de renseignement chinois la capacité d’identifier et de suivre les communications et les mouvements de leurs cibles dans le monde», ont déclaré les agences dans leur rapport.
Également connu dans l’industrie de la cybersécurité sous le nom d’opérateur Panda, Redmike, UNC5807 et Ghosttemperor, Salt Typhoon a fait la une des journaux fin 2024 et plus tôt cette année, lorsque les autorités ont révélé que le groupe avait enfreint les principaux fournisseurs de télécommunications américaines et les FAI, notamment AT&T, Verizon, T-Mobile Technologies, CHARTER, CONSOLIDE et CONSOLIDE ET COMMUNATIONS DE WINDSTREAM pour l’ordre de l’ordre de la Sentide, CHARTER, CONSOLIDET ET COMMUNATIONS WINDSTREAM pour l’ordre pour l’ordre de l’ordre pour la sensation de SPY pour SPY pour SPY pour CHART Communications.
Accès à travers des vulnérabilités connues dans les périphériques de bord de réseau
Jusqu’à présent, le typhon de sel n’a pas été associé à l’exploitation de vulnérabilités zéro-jours, mais il a utilisé à plusieurs reprises les jours n-days – des vulnérabilités connues pour lesquelles les victimes n’ont pas encore déployé de correctifs. Les défauts des appareils de bord de réseau, y compris les appareils de sécurité du réseau, semblent être une cible fréquente pour le groupe. Le rapport conjoint met en évidence le CVE-2024-21887, un défaut dans Ivanti Connect Secure et Ivanti Policy Secure; CVE-2024-3400 dans Palo Alto Networks Pan-OS GlobalProtect; CVE-2023-20273 et CVE-2023-20198 dans Cisco Internetworking System (iOS) XE; et CVE-2018-0171 dans Cisco IOS et iOS XE.
« Les acteurs APT peuvent cibler les appareils Edge, peu importe qui possède un appareil particulier. Des appareils appartenant à des entités qui ne s’alignent pas avec les principaux cibles d’intérêt des acteurs présentent toujours des opportunités d’utilisation dans les voies d’attaque vers les cibles d’intérêt », selon le rapport
Le groupe est également connu pour utiliser des routeurs compromis et des serveurs privés virtuels qui n’ont pas été auparavant associés à des botnets ou à une activité malveillante comme proxys en configurant des tunnels. Les appareils sont également inspectés pour tout fournisseur de confiance à fournisseur ou lien fournisseur à client qui pourrait être abusé pour sauter dans d’autres réseaux.
Une technique couramment utilisée pour maintenir la persistance consiste à modifier les listes de contrôle d’accès (ACL) sur les périphériques afin d’ajouter des adresses IP contrôlées par les attaquants. Les services d’ouverture sur des ports non standard, tels que SSH, SFTP, FTP, RDP, HTTP et autres, ont également été couramment observés sur des dispositifs compromis.
« Selon la configuration du protocole de gestion du réseau simple (SNMP) sur le périphérique réseau compromis, les acteurs APT énumèrent et modifient les configurations pour d’autres appareils du même groupe communautaire, lorsque cela est possible », ont indiqué les agences.
Salt Typhoon Mouvements latéraux et collecte de données
Afin de se déplacer plus profondément à l’intérieur des réseaux, les attaquants sur levier des protocoles d’authentification existants tels que le système de contrôle d’accès du contrôleur d’accès terminal Plus (TACACS +) et le service utilisateur d’authentification à distance (RADIUS). La base d’informations gérée (MIB), diverses interfaces de routeur, les séances de protocole de réservation de ressources (RSVP), les routes de protocole de passerelle (BGP) (BGP) (BGP) sont également ciblées pour abus.
Les attaquants recherchent également des fichiers de configuration et des données tenues par le fournisseur telles que les informations d’abonné, les enregistrements clients, les diagrammes de réseau, les configurations de périphériques, les listes de fournisseurs, les mots de passe et plus encore.
Les capacités de capture de paquets natives des routeurs compromises sont systématiquement exploitées pour capturer le rayon ou le trafic d’authentification TACACS + avec l’intention d’extraire des informations d’identification transmises sous des formes non sécurisées. Parfois, les attaquants pointent la configuration du serveur TACACS + du routeur vers une adresse IP qu’ils contrôlent pour capturer les demandes d’authentification.
Les routeurs compromis, en particulier les Cisco, auront diverses modifications de configuration qui leur sont apportées, y compris l’ajout de nouveaux comptes, la mise à profit de la surveillance du trafic sur les interfaces, les commandes sur divers protocoles pour afficher les fichiers de configuration ou pour nettoyer les journaux, la configuration des tunnels, la mise à jour des tables de routage, l’exécution des conteneurs de shell invité et plus encore.
Les attaquants exploitent généralement les connexions de peering existantes entre les réseaux afin d’exfiltrer les données sans soulever des soupçons, de le cacher dans le bruit généré par les nœuds à haute trafic et de les encapsuler dans des tunnels cryptés tels que GRE ou IPSEC.
Les fournisseurs de télécommunications doivent effectuer des menaces de chasse
Le rapport comprend de nombreux indicateurs de compromis, TTPS, une étude de cas avec une activité et des commandes de typhon de sel enregistrés, ainsi que des recommandations de chasse aux menaces et des règles YARA qui peuvent être utilisées pour la détection d’activité.
« Les agences de création encouragent les défenseurs du réseau des organisations d’infrastructures critiques, en particulier les organisations de télécommunications, à effectuer des activités de chasse aux menaces et, le cas échéant, à des incidents », ont indiqué les agences. «Si une activité malveillante est suspectée ou confirmée, les organisations devraient prendre en compte toutes les exigences de déclaration obligatoires aux agences et régulateurs concernés en vertu des lois et réglementations applicables, et de toute déclaration volontaire supplémentaire aux agences appropriées, telles que la cybersécurité ou les agences d’application de la loi qui peuvent fournir des orientations et une assistance pour la réponse aux incidents.»
En termes de recommandations d’atténuation, la première étape consiste à corriger les vulnérabilités connues dès que possible, en particulier sur les périphériques de bord de réseau. Il est également important de réaliser une surveillance régulière des fichiers de configuration et des journaux sur les routeurs afin de détecter l’activité suspecte et les modifications non autorisées.
D’autres recommandations générales incluent la désactivation des connexions sortantes à partir des interfaces de gestion, la désactivation des ports et des services inutilisés, la modification des informations d’identification administratives par défaut, la mise en œuvre d’authentification de la clé publique pour les administrateurs au lieu de l’authentification du mot de passe et d’établissement des appareils réseau non pris en charge avec des versions qui reçoivent toujours des correctifs de sécurité de leurs fabricants.
Le rapport comprend également des recommandations plus spécifiques pour durcisser les protocoles de gestion, la mise en œuvre de journaux robustes et l’expression des meilleures pratiques pour le routage et les réseaux privés virtuels.
