Le groupe de menaces parrainé par l’État chinois, Salt Typhoon, a violé cinq sociétés de télécommunications dans le cadre d’une campagne de menaces qui a ciblé plus de 1 000 appareils Cisco dans le monde, selon le groupe Insikt de Future enregistré.
Salt Typhoon, que le groupe insikt suit comme “Redmike”, est devenu l’un des noms les plus importants de l’activité de menace soutenue par l’État. Plus particulièrement, le groupe était derrière des violations de haut niveau des fournisseurs de télécommunications américains, qui ont été divulgués l’automne dernier. Les futurs chercheurs enregistrés ont constaté que les attaques de Salt Typhoon contre les fournisseurs de télécommunications se sont poursuivies au-delà de ces violations initiales.
Enregistré les dernières recherches de Future, publiées jeudi en tant que billet de blog, détaille une campagne de typhon de sel observée entre décembre et janvier dans laquelle l’acteur de menace a exploité “les appareils de réseau Cisco non corrigées non corrigées principalement associés aux fournisseurs mondiaux de télécommunications”. Plus de 1 000 appareils ont été ciblés à l’échelle mondiale, et cinq entreprises ont été compromises dans les attaques, notamment un fournisseur de services de télécommunications et Internet américain et une filiale américaine d’un fournisseur de télécommunications britanniques.
“Insikt Group observé RedMike Target et exploiter les appareils de réseau Cisco non corrigées vulnérables au CVE-2023-20198, une vulnérabilité d’escalade de privilège trouvée dans la fonction d’interface utilisateur Web (UI) dans le logiciel Cisco IOS XE, pour un accès initial , CVE-2023-20273, pour obtenir des privilèges racine “, selon la recherche. “Redmike reconfigure l’appareil, en ajoutant un tunnel d’encapsulation de routage générique (GRE) pour un accès persistant.”
Cisco a divulgué CVE-2023-20198 et CVE-2023-20273 en tant que vulnérabilités de jour zéro en octobre 2023, la première étant divulguée le 16 octobre et la dernière découverte quelques jours plus tard. Le vendeur de sécurité Vulncheck a constaté à l’époque que les acteurs de la menace avaient compromis des milliers d’appareils Cisco exposés en exploitant les défauts. Un patch a été publié le 22 octobre.
Dans une déclaration d’un porte-parole de Cisco à Informa Techtarget, le fournisseur de réseautage a partagé son avis de sécurité pour les défauts susmentionnés et a ordonné aux clients de suivre les recommandations.
“En 2023, Cisco a publié un conseil en matière de sécurité révélant plusieurs vulnérabilités dans la fonctionnalité d’interface utilisateur Web dans le logiciel Cisco iOS XE”, a déclaré le porte-parole. “Nous continuons à exhorter fortement les clients à suivre les recommandations décrites dans le conseil et à passer à la version fixe disponible.”
Insikt Group a déclaré avoir observé des dispositifs de ciblage de typhon de sel dans les universités de plusieurs pays, notamment l’Argentine, le Bangladesh, l’Indonésie, la Malaisie, le Mexique, les Pays-Bas, la Thaïlande, les États-Unis et le Vietnam. “Redmike a peut-être ciblé ces universités pour accéder à la recherche dans des domaines liés aux télécommunications, à l’ingénierie et à la technologie, en particulier dans des institutions comme l’UCLA et TU Delft”, a déclaré Insikt Group.
De plus, un avenir enregistré a également vu Salt Typhoon effectuant la reconnaissance des adresses IP appartenant au fournisseur de télécommunications basé au Myanmar Mytel. Plus de la moitié des dispositifs suivis étaient basés aux États-Unis, en Amérique du Sud et en Inde, le reste couvrant plus de 100 autres pays.
Insikt Group a évalué que la campagne de Salt Typhoon était axée sur des cibles spécifiques, étant donné le grand nombre d’appareils Cisco exposés à Internet.
“À l’aide des données de numérisation Internet, Insikt Group a identifié plus de 12 000 appareils réseau Cisco avec leurs UIS Web exposées à Internet”, indique le billet de blog. “Bien que plus de 1 000 appareils Cisco aient été ciblés, le groupe INSIKT évalue que cette activité a probablement été axée, étant donné que ce nombre ne représente que 8% des dispositifs exposés et que RedMike s’est engagé dans une activité de reconnaissance périodique, la sélection des appareils liés aux fournisseurs de télécommunications.”
Jon Condra, directeur principal des renseignements stratégiques chez Recorded Future, a déclaré à Informa Techtarget que l’équipe avait trouvé cette campagne après avoir reçu un pourboire d’un partenaire qui leur a permis d’étudier “des infrastructures adversaires de confiance élevées liées au typhon de Salt”.
“Nous avons ensuite pu combiner ces données de semences avec les capacités de renseignement du réseau de Future enregistrées pour identifier l’activité et le ciblage malveillants décrits dans le rapport lié à l’infrastructure de commandement et de contrôle”, a-t-il déclaré.
Au-delà des cinq sociétés de télécommunications énumérées dans le rapport, Condra a déclaré qu’il aurait pu y avoir des organisations plus compromises que celles énumérées, mais que l’avenir enregistré à ce jour n’a pu confirmer que l’exploitation et l’activité subséquente de ces cinq organisations.
“Essentiellement, nous pensons que les acteurs de la menace ont compilé une liste d’appareils potentiellement vulnérables qui avaient leurs UIS Web accessibles et étaient associés à des sociétés de télécommunications, puis ont effectué des analyses de vulnérabilité actives pour identifier lesquelles parmi elles étaient vulnérables”, a-t-il déclaré. “De notre visibilité, notre seule indication d’un compromis réussi serait l’établissement ultérieur des tunnels GRE au serveur de collecte. Nous ne pouvons donc pas exclure qu’il y ait des routeurs plus compromis avec succès au-delà de ceux du rapport; il est possible qu’ils aient lieu ‘ T mais a fait leur accès, ou que nous ne pouvons pas voir les tunnels GRE en fonction de notre visibilité. “
Alexander Culafi est un rédacteur de nouvelles de la sécurité de l’information et animateur de podcast pour Informa Techtarget.
