Le FBI a demandé au public des informations sur les pirates informatiques du typhon de sel chinois à l’origine de violations généralisées des fournisseurs de télécommunications aux États-Unis et dans le monde.
En octobre, le FBI et la CISA ont confirmé que les pirates informatiques de l’État chinois avaient violé plusieurs fournisseurs de télécommunications (y compris AT&T, Verizon, Lumen, Charter Communications, Consolidated Communications et Windstream) et de nombreuses autres sociétés de télécommunications dans des dizaines de pays.
Comme révélé à l’époque, alors qu’ils avaient accès aux réseaux de télécommunications américains, les attaquants ont également accédé à la plate-forme d’écoute électronique des forces de l’ordre américaines et ont eu accès aux « communications privées » d’un « nombre limité » de représentants du gouvernement américain.
Jeudi, le FBI a publié un message d’intérêt public demandant des conseils qui pourraient aider à identifier et à localiser les pirates informatiques du typhon Salt qui ont ciblé l’infrastructure de télécommunications américaine.
« L’enquête sur ces acteurs et leurs activités a révélé une vaste et importante cyber-campagne visant à tirer parti de l’accès à ces réseaux pour cibler les victimes à l’échelle mondiale. Cette activité a entraîné le vol de journaux de données d’appels, un nombre limité de communications privées impliquant des victimes identifiées et la copie de certaines informations soumises à des demandes d’application de la loi américaines ordonnées par un tribunal », a déclaré le FBI.
« Le FBI maintient son engagement à protéger le secteur des télécommunications américain et les personnes et organisations ciblées par Salt Typhoon en identifiant, atténuant et perturbant la cyberactivité malveillante de Salt Typhoon. Si vous avez des informations sur les personnes qui composent Salt Typhoon ou d’autres activités de Salt Typhoon, nous aimerions particulièrement avoir de vos nouvelles. »
En janvier, l’Office of Foreign Assets Control (OFAC) du département américain du Trésor a annoncé des sanctions contre Sichuan Juxinhe Network Technology, une entreprise chinoise de cybersécurité soupçonnée d’être directement impliquée dans les violations des télécommunications du typhon Salt.
Le FBI a également rappelé que le Département d’État américain offrait une récompense pouvant aller jusqu’à 10 millions de dollars dans le cadre de son programme Rewards for Justice (RFJ) pour des informations sur des pirates informatiques étrangers liés au gouvernement liés à des cyberactivités malveillantes contre des infrastructures critiques américaines.
Plus de violations des télécommunications par le typhon Salt
Le groupe de cyberespionnage chinois Salt Typhoon (également connu sous le nom de Ghost Emperor, FamousSparrow, Earth Estries et UNC2286) viole les entités gouvernementales et les entreprises de télécommunications depuis au moins 2019.
Ces derniers mois, il a également été découvert que ce groupe de piratage soutenu par l’État ciblait toujours activement les télécommunications. Entre décembre 2024 et janvier 2025, il a violé davantage d’entreprises de télécommunications dans le monde entier en exploitant des vulnérabilités d’escalade de privilèges et d’injection de commandes d’interface utilisateur Web dans des périphériques réseau Cisco IOS XE non corrigés.
Ces violations supplémentaires incluent un fournisseur de services Internet (FAI) américain, une filiale américaine d’un fournisseur de télécommunications britannique, un FAI italien, un fournisseur de télécommunications sud-africain et un grand fournisseur de télécommunications thaïlandais.
Cisco a également révélé que les pirates chinois utilisent un outil malveillant JumbledPath personnalisé pour surveiller furtivement le trafic réseau et capturer probablement des données sensibles à partir des réseaux compromis des fournisseurs de télécommunications américains.
En réponse à ces violations, les autorités américaines envisagent d’interdire les routeurs TP-Link si une enquête en cours révèle que leur utilisation dans des cyberattaques pose un risque pour la sécurité nationale. Ils auraient également l’intention d’interdire les dernières opérations actives de China Telecom aux États-Unis.