CISA a publié aujourd’hui des directives pour aider les défenseurs des réseaux à renforcer leurs systèmes contre les attaques coordonnées par le groupe de menaces chinois Salt Typhoon qui a violé plusieurs grands fournisseurs mondiaux de télécommunications plus tôt cette année.
L’agence américaine de cybersécurité et le FBI ont confirmé les violations fin octobre après des informations selon lesquelles Salt Typhoon aurait violé plusieurs fournisseurs de haut débit, notamment AT&T, T-Mobile, Verizon et Lumen Technologies.
Ils ont révélé plus tard que les attaquants avaient compromis les « communications privées » d’un « nombre limité » de représentants du gouvernement, avaient eu accès à la plate-forme d’écoute électronique du gouvernement américain et avaient volé les enregistrements des appels des clients et les données des demandes des forces de l’ordre.
Bien que l’on ignore encore quand les réseaux des géants des télécommunications ont été piratés pour la première fois, les pirates chinois y ont eu accès « pendant des mois ou plus », selon un rapport du WSJ, ce qui leur a permis de voler de grandes quantités de « trafic Internet auprès des fournisseurs de services Internet qui comptent des entreprises grandes et petites, et des millions d’Américains, comme clients. »
« Nous ne pouvons pas dire avec certitude que l’adversaire a été expulsé, car nous ne connaissons toujours pas l’ampleur de ce qu’ils font. Nous essayons toujours de comprendre cela, avec ces partenaires », a déclaré aujourd’hui un haut responsable de la CISA aux journalistes lors d’une conférence de presse.
Cependant, le directeur de la sécurité de T-Mobile, qui a déclaré mercredi que l’attaque provenait du réseau d’un fournisseur filaire connecté, affirme que la société ne voit plus aucun attaquant actif au sein de son réseau.
Également connu sous le nom de Earth Estries, FamousSparrow, Ghost Emperor et UNC2286, ce groupe de menaces viole des entités gouvernementales et des entreprises de télécommunications à travers l’Asie du Sud-Est depuis au moins 2019.
« La vigilance est la clé »
Comme l’a déclaré la NSA aujourd’hui, les attaquants chinois ont ciblé des services exposés et vulnérables, des appareils non corrigés et des environnements généralement sous-sécurisés.
L’avis conjoint, publié en partenariat avec le FBI, la NSA et des partenaires internationaux, comprend des conseils sur le renforcement des dispositifs et la sécurité du réseau pour réduire la surface d’attaque exploitée par ces acteurs de la menace.
Il comprend également des mesures défensives pour améliorer la visibilité pour les administrateurs système et les ingénieurs gérant l’infrastructure de communication pour un aperçu plus détaillé du trafic réseau, du flux de données et des activités des utilisateurs.
Parmi les autres meilleures pratiques de durcissement mises en évidence dans l’avis d’aujourd’hui, citons:
- Correction et mise à niveau rapides des appareils,
- Désactivation de tous les protocoles inutilisés, non authentifiés ou non chiffrés,
- Limitation des connexions de gestion et des comptes privilégiés,
- Utiliser et stocker les mots de passe en toute sécurité,
- En utilisant uniquement une cryptographie forte.
Il est également conseillé aux défenseurs du réseau de configurer leurs systèmes pour enregistrer tous les changements de configuration et les connexions de gestion et alerter sur tout imprévu afin d’améliorer la visibilité des périphériques périphériques aux périmètres du réseau.
Il est également important de surveiller le trafic provenant de partenaires de confiance, tels que les fournisseurs filaires, car T-Mobile a été piraté via un fournisseur filaire connecté plutôt que via des appareils exposés sur Internet.
« La vigilance est essentielle pour se défendre contre la compromission du réseau. Ayez toujours un œil sur vos systèmes et corrigez et corrigez les vulnérabilités connues avant qu’elles ne deviennent des cibles », a déclaré Dave Luber, directeur de la cybersécurité de la NSA.