Les pirates informatiques du typhon Salt en Chine ciblent toujours activement les télécommunications dans le monde entier et ont violé davantage de fournisseurs de télécommunications américains via des périphériques réseau Cisco IOS XE non corrigés.
La division de recherche sur les menaces Insikt Group d’Recorded Future déclare que le groupe de piratage chinois (suivi de Salt Typhoon et RedMike) a exploité les vulnérabilités d’escalade de privilèges CVE-2023-20198 et d’injection de commandes d’interface utilisateur Web CVE-2023-20273.
Ces attaques en cours ont déjà entraîné des violations de réseau chez plusieurs fournisseurs de télécommunications, notamment un fournisseur de services Internet (FAI) américain, une filiale américaine d’un fournisseur de télécommunications britannique, un fournisseur de télécommunications sud-africain, un FAI italien et un grand fournisseur de télécommunications thaïlandais.
Les chercheurs sur les menaces ont déclaré avoir repéré des périphériques Cisco compromis et reconfigurés sur leurs réseaux, communiquant avec des serveurs contrôlés par Salt Typhoon via des tunnels d’encapsulation de routage générique (GRE) pour un accès persistant.
Entre décembre 2024 et janvier 2025, Salt Typhoon a ciblé plus de 1 000 périphériques réseau Cisco, dont plus de la moitié provenaient des États-Unis, d’Amérique du Sud et d’Inde.
« En utilisant les données d’analyse Internet, Insikt Group a identifié plus de 12 000 périphériques réseau Cisco avec leurs interfaces utilisateur Web exposées à Internet », a déclaré Insikt Group.
« Bien que plus de 1 000 appareils Cisco aient été ciblés, Insikt Group estime que cette activité était probablement ciblée, étant donné que ce nombre ne représente que 8% des appareils exposés et que RedMike s’est engagé dans une activité de reconnaissance périodique, sélectionnant des appareils liés à des fournisseurs de télécommunications. »
Il y a deux ans, les deux vulnérabilités ont été exploitées dans des attaques zero-day qui ont compromis plus de 50 000 appareils Cisco IOS XE, permettant le déploiement de logiciels malveillants de porte dérobée via des comptes privilégiés malveillants. Selon un avis de novembre de Five Eyes, ces failles de sécurité figuraient parmi les quatre plus fréquemment exploitées en 2023.
Iniskt Group conseille aux administrateurs réseau exploitant des périphériques réseau Cisco IOS XE exposés à Internet d’appliquer les correctifs de sécurité disponibles dès que possible et d’éviter d’exposer les interfaces d’administration ou les services non essentiels directement à Internet.
Ces violations font partie d’une campagne plus large confirmée par le FBI et la CISA en octobre. Dans ces attaques, les pirates informatiques de l’État chinois ont violé plusieurs opérateurs de télécommunications américains (y compris AT& T, Verizon, Lumen, Charter Communications, Consolidated Communications et Windstream) et des sociétés de télécommunications dans des dizaines d’autres pays.
Alors qu’ils avaient accès aux réseaux de télécommunications américains, ils ont compromis les « communications privées » d’un « nombre limité » de représentants du gouvernement américain et ont accédé à la plate-forme d’écoute électronique des forces de l’ordre américaines.
Le groupe de cyberespionnage chinois Salt Typhoon (également connu sous le nom de FamousSparrow, Ghost Emperor, Earth Estries et UNC2286) viole les entreprises de télécommunications et les entités gouvernementales depuis au moins 2019.