La US National Security Agency (NSA), le National Cybersecurity Center (NCSC) du Royaume-Uni et les partenaires de plus d’une douzaine de pays relient la campagne de piratage mondiale de Typhoon Salt à trois sociétés technologiques basées en Chine.
Recommandations conjointes (NSA, NCSC), Sichuan Juxinhe Network Technology Co. Ltd., Beijing Huanyu Tianqiong Information Technology Co., et Sichuan Zhixin Ruijie Network Technology Co. Ltd. Fournir de la cyber-production et des services à la sécurité chinoise régulière de la Sation de la Sation de la Sation de l’armée de la province chinoise.
Depuis au moins 2021, les acteurs de la menace chinoise ont violé le gouvernement, les télécommunications, les transports, l’hébergement et les réseaux militaires à travers le monde, volant des données qui peuvent être utilisées pour suivre les communications et les mouvements ciblés dans le monde.
En particulier, au cours des dernières années, Salt Typhoon a lancé des attaques coordonnées avec des entreprises de télécommunications pour espionner les communications privées entre les individus du monde entier.
BleepingComputer contactera l’ambassade chinoise à propos de ces affirmations et mettra à jour l’histoire si elle reçoit une réponse.
Ciblage d’équipements de réseautage
Les avis conjoints des agences de rapports de cyber et de renseignement dans 13 pays préviennent que, plutôt que de compter sur des jours zéro, les acteurs de la menace ont un « succès substantiel » dans l’exploitation des défauts fixes, largement connus pour les appareils de bord de réseau.
Ces vulnérabilités comprennent:
CVE-2024-21887 (Ivanti Connect Secure Command Injection), CVE-2024-3400 (Palo Alto Pan-OS GlobalProtect RCE), CVE-2023-20273 et CVE-2023-20198 (Cisco iOS XE XE Authentification Authentication et artilesge-2018-0171 (CISCO IOS XE).
À l’aide de ces défauts, les acteurs de la menace peuvent accéder aux appareils de routage et de réseau, modifier les listes de contrôle d’accès, activer SSH sur les ports non standard, créer des tunnels GRE / IPSEC et tirer parti des conteneurs de coquille invités Cisco pour maintenir la persistance.
« Les acteurs APT peuvent cibler les appareils Edge, peu importe qui possède un appareil particulier », explique le rapport conjoint.
« Les appareils appartenant à des entités qui ne correspondent pas aux objectifs principaux des parties intéressées présentent toujours des opportunités d’intérêt pour les objectifs à utiliser dans leurs itinéraires d’attaque. Les acteurs utilisent des appareils compromis avec des interconnexions de confiance ou privées (comme un lien des fournisseurs ou des fournisseurs aux clients) pour pivoter à d’autres réseaux.
Nous avons également déployé la capture de paquets du trafic authentifié, des serveurs TACACS + redirigés et des outils SFTP basés sur Goran personnalisés (« CMD1 », « CMD3 », « New2 », pour surveiller le trafic et voler des données.
Étant donné que beaucoup de ces vulnérabilités ont eu des correctifs disponibles depuis un certain temps, le NCSC et la NSA encouragent d’abord à hiérarchiser les dispositifs de correctifs, puis pour améliorer la configuration des appareils, surveiller les modifications non autorisées et désactiver les services non utilisés.
Il est également recommandé que les administrateurs restreignent les services de gestion aux réseaux dédiés, mettent en œuvre des protocoles sécurisés tels que SSHV2 et SNMPV3, et désactiver les installations intelligentes Cisco et les coquilles d’invités s’ils ne sont pas nécessaires.
La CISA avait précédemment averti que la fonctionnalité Héritage Cisco Smart Installer (SMI) devrait être désactivée après avoir suivi les administrateurs abusés lors d’attaques par des acteurs de la menace chinoise et russe.
En outre, les administrateurs sont encouragés à rechercher activement des signes de compromis, car les campagnes profitent des faiblesses connues plutôt que de la journée de furtivité.
Activités passées des typhons salés
La nouvelle recommandation fait suite à des années d’attaques de typhon de sel contre les fournisseurs de télécommunications et les agences gouvernementales.
Le groupe avait précédemment violé les principaux transporteurs américains, notamment AT&T, Verizon et Lumen, ayant accès à des communications sensibles telles que les messages texte, la messagerie vocale et même les systèmes d’écoute des agences américaines d’application de la loi.
Pour ces violations, la FCC a commandé des communications et soumis une certification annuelle pour s’assurer qu’elle sécurise son réseau en vertu de la loi sur l’assistance des communications (CALEA) de l’agence d’application de la loi et dispose d’un plan de gestion des risques de cybersécurité à jour.
Salt Typhoon a également exploité les moindres vulnérabilités Cisco IOS XE pour infiltrer davantage de communications canadiennes américaines, établissant des tunnels GRE pour l’accès permanent et le vol de données de configuration.
Les acteurs de la menace ont utilisé des logiciels malveillants personnalisés appelés chemins de mastic pour surveiller et capturer le trafic à partir des réseaux de communication.
En plus des violations de la communication, Salt Timone a été lié à une violation de 9 mois de la Garde nationale de l’armée américaine en 2024, pendant laquelle il a volé des fichiers de configuration et des informations d’identification administratrices qui pourraient être utilisées pour compromettre d’autres réseaux gouvernementaux.
46% de l’environnement ont corrompu des mots de passe, presque doublé par rapport à 25% l’année dernière.
Obtenez PICUS BLUE RAPPORT 2025 et jetez un examen complet de plus de résultats de recherche sur les tendances de prévention, de détection et d’élimination des données.
Obtenez le rapport bleu 2025
