Plusieurs fournisseurs américains de haut débit, dont Verizon, AT & T et Lumen Technologies, ont été piratés par un groupe de piratage chinois connu sous le nom de Salt Typhoon, rapporte le Wall Street Journal.
Le but de l’attaque semble être la collecte de renseignements, car les pirates auraient pu avoir accès aux systèmes utilisés par le gouvernement fédéral américain pour les demandes d’écoute électronique autorisées par les tribunaux.
On ne sait pas quand l’intrusion s’est produite, mais le WSJ cite des personnes familières avec le sujet, affirmant que « pendant des mois ou plus, les pirates pourraient avoir eu accès à l’infrastructure réseau utilisée pour coopérer avec les demandes légitimes des États-Unis pour les données de communication. »
Salt Typhoon est le nom que Microsoft a donné à cet acteur de la menace basé en Chine. D’autres sociétés de cybersécurité traquent l’adversaire comme Earth Estries (Trend Micro), FamousSparrow (ESET), Ghost Emperor (Kaspersky) et UNC2286 (Mandiant, qui fait maintenant partie de Google Cloud).
Capture du trafic sensible
Selon le WSJ, l’attaque a été découverte ces dernières semaines et fait l’objet d’une enquête par le gouvernement américain et des experts en sécurité du secteur privé.
L’impact de l’attaque – quantité et type de données observées et exfiltrées – est toujours en cours d’évaluation, ont déclaré au WSJ des personnes ayant des informations sur l’intrusion.
“Les pirates semblent s’être engagés dans une vaste collection de trafic Internet provenant de fournisseurs de services Internet qui comptent parmi leurs clients des entreprises, grandes et petites, et des millions d’Américains » – Wall Street Journal
Outre la violation des fournisseurs de services aux États-Unis, Salt Typhoon peut également avoir piraté des entités similaires dans d’autres pays.
Salt Typhoon est actif depuis au moins 2019 et est considéré comme un groupe de piratage sophistiqué se concentrant sur les entités gouvernementales et les entreprises de télécommunications généralement dans la région de l’Asie du Sud-Est.
Les chercheurs en sécurité ont également découvert que l’auteur de la menace avait attaqué des hôtels, des sociétés d’ingénierie et des cabinets d’avocats au Brésil, au Burkina Faso, en Afrique du Sud, au Canada, en Israël, en France, au Guatemala, en Lituanie, en Arabie saoudite, à Taiwan, en Thaïlande et au Royaume-Uni.
Les pirates obtiennent généralement un accès initial au réseau cible en exploitant des vulnérabilités, telles que les vulnérabilités ProxyLogon dans Microsoft Exchange Server (CVE-2021 – 26855, CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065).
Lors d’attaques précédentes attribuées à Salt Typhoon/Ghost Emperor, l’auteur de la menace utilisait une porte dérobée personnalisée appelée SparrowDoor, des versions personnalisées de l’outil Mimikatz pour extraire les données d’authentification et un rootkit en mode noyau Windows Demodex.
Les enquêteurs sont toujours à la recherche de la méthode d’accès initiale pour la récente attaque. Le WSJ dit qu’une avenue explorée est d’accéder aux routeurs Cisco responsables du routage du trafic Internet.
Cependant, un porte-parole de Cisco a déclaré au WSJ que la société examinait la question mais n’avait reçu aucune indication que l’équipement réseau Cisco était impliqué dans la violation.
Breachtrace a contacté AT & T au sujet de la violation présumée et on lui a dit qu’ils « ne commentaient pas le rapport du WSJ. »Lumen a également refusé de commenter.
Verizon n’a pas répondu à nos courriels et nous mettrons à jour l’histoire si nous recevons une réponse.
Les groupes de piratage APT chinois ciblent de plus en plus les appareils réseau et les FAI américains et européens dans des attaques de cyberespionnage.
En août, des chercheurs en cybersécurité des laboratoires Black Lotus de Lumen ont révélé que les acteurs de la menace chinoise connus sous le nom de « Volt Typhoon » exploitaient une faille zero-day dans Versa Director pour voler des informations d’identification et violer les réseaux d’entreprise. Au cours de ces attaques, les auteurs de la menace ont violé plusieurs FAI et MSP aux États-Unis et en Inde, ce qui ne serait pas lié aux récentes violations.
En septembre, Black Lotus Labs et les forces de l’ordre ont perturbé un énorme botnet chinois nommé « Raptor Train » qui a compromis plus de 260 000 routeurs SOHO, des caméras IP avec des logiciels malveillants. Ce botnet a été utilisé par les acteurs de la menace « Flax Typhoon » pour des attaques DDoS et comme proxy pour lancer des attaques furtives contre d’autres organisations.
Bien que ces attaques aient été attribuées à différents groupes de piratage chinois, on pense qu’elles opèrent sous le même parapluie, partageant généralement l’infrastructure et les outils.