Le groupe de piratage Salt Typhoon parrainé par l’État chinois utilise un utilitaire personnalisé appelé JumbledPath pour surveiller furtivement le trafic réseau et potentiellement capturer des données sensibles lors de cyberattaques contre des fournisseurs de télécommunications américains.
Salt Typhoon (alias Earth Estries, GhostEmperor et UNC2286) est un groupe de piratage sophistiqué actif depuis au moins 2019, se concentrant principalement sur la violation des entités gouvernementales et des entreprises de télécommunications.
Récemment, les autorités américaines ont confirmé que Salt Typhoon était à l’origine de plusieurs violations réussies des fournisseurs de services de télécommunication aux États-Unis, notamment Verizon, AT&T, Lumen Technologies et T-Mobile.
Il a été révélé plus tard que Salt Typhoon avait réussi à exploiter les communications privées de certains représentants du gouvernement américain et avait volé des informations relatives aux demandes d’écoute électronique autorisées par les tribunaux.
La semaine dernière, le groupe Insikt de Recorded Future a rapporté que le typhon Salt avait ciblé plus de 1 000 périphériques réseau Cisco, dont plus de la moitié des États-Unis, d’Amérique du Sud et d’Inde, entre décembre 2024 et janvier 2025,
Aujourd’hui, Cisco Talos a révélé plus de détails sur l’activité de l’auteur de la menace lorsqu’il a piraté de grandes entreprises de télécommunications aux États-Unis, ce qui, dans certains cas, s’est étalé sur plus de trois ans.
Tactiques du typhon salé
Cisco affirme que les pirates informatiques Salt Typhoon ont infiltré l’infrastructure réseau principale principalement grâce à des informations d’identification volées. Hormis un seul cas d’exploitation de la faille Cisco CVE-2018-0171, la société de cybersécurité n’a vu aucune autre faille, connue ou zéro jour, exploitée dans cette campagne.
« Aucune nouvelle vulnérabilité Cisco n’a été découverte au cours de cette campagne », indique Cisco Talos dans son rapport. « Bien qu’il y ait eu des rapports selon lesquels Salt Typhoon abusait de trois autres vulnérabilités connues de Cisco, nous n’avons identifié aucune preuve pour confirmer ces affirmations. »
Alors que Salt Typhoon a principalement eu accès à des réseaux ciblés en utilisant des informations d’identification volées, la méthode exacte d’obtention des informations d’identification reste floue.
Une fois à l’intérieur, ils ont étendu leur accès en extrayant des informations d’identification supplémentaires des configurations de périphériques réseau et en interceptant le trafic d’authentification (SNMP, TACACS et RADIUS).
Ils ont également exfiltré les configurations de périphériques via TFTP et FTP pour faciliter les mouvements latéraux, qui contenaient des données d’authentification sensibles, des mots de passe faiblement cryptés et des détails de cartographie du réseau.
Les attaquants ont démontré des techniques avancées d’accès persistant et d’évasion, notamment en pivotant fréquemment entre différents périphériques réseau pour masquer leurs traces et en utilisant des périphériques périphériques compromis pour pivoter dans les réseaux de télécommunications partenaires.
Les auteurs de la menace ont également été observés en train de modifier les configurations réseau, d’activer l’accès Shell invité pour exécuter des commandes, de modifier les listes de contrôle d’accès (ACL) et de créer des comptes cachés.
Le malware de Chemin brouillé personnalisé
L’un des principaux composants des attaques du typhon Salt était la surveillance de l’activité du réseau et le vol de données à l’aide d’outils de capture de paquets tels que Tcpdump, Tpacap, la capture de paquets intégrée et un outil personnalisé appelé JumbledPath.
JumpedPath est un binaire ELF basé sur Go conçu pour les systèmes basés sur Linux x86_64 qui lui permettait de s’exécuter sur une variété de périphériques réseau périphériques de différents fabricants, y compris les périphériques Cisco Nexus.
JumbledPath a permis à Salt Typhoon d’initier la capture de paquets sur un périphérique Cisco ciblé via un jump-host, un système intermédiaire qui faisait apparaître les demandes de capture comme si elles provenaient d’un périphérique de confiance à l’intérieur du réseau tout en obscurcissant l’emplacement réel de l’attaquant.
Le même outil pourrait également désactiver la journalisation et effacer les journaux existants pour effacer les traces de son activité et rendre les enquêtes médico-légales plus difficiles.
Cisco répertorie plusieurs recommandations pour détecter l’activité Salt Typhoon, telles que la surveillance de l’activité SSH non autorisée sur des ports non standard, le suivi des anomalies des journaux, y compris les manquants ou inhabituellement volumineux.bash_history’, et en inspectant les changements de configuration inattendus.
Au cours des deux dernières années, les auteurs de menaces chinois ont de plus en plus ciblé les périphériques réseau périphériques pour installer des logiciels malveillants personnalisés leur permettant de surveiller les communications réseau, de voler des informations d’identification ou d’agir en tant que serveurs proxy pour les attaques relayées.
Ces attaques ont ciblé des fabricants bien connus, notamment Fortinet, Barracuda, SonicWall, Check Point, D-Link, Cisco, Juniper, NetGear et Sophos.
Alors que bon nombre de ces attaques exploitaient des vulnérabilités zero-day, d’autres appareils ont été piratés par des informations d’identification compromises ou des vulnérabilités plus anciennes. Par conséquent, les administrateurs doivent appliquer des correctifs aux périphériques réseau périphériques dès qu’ils sont disponibles.