L’acteur avancé de menace persistante avancée en Chine (APT) connue sous le nom Typhon de sel a poursuivi ses attaques ciblant les réseaux à travers le monde, y compris les organisations des télécommunications, le gouvernement, les transports, l’hébergement et les secteurs des infrastructures militaires.
“Alors que ces acteurs se concentrent sur les grands routeurs de l’épine dorsale des principaux fournisseurs de télécommunications, ainsi que des routeurs de fournisseur Edge (PE) et du Client Edge (CE), ils exploitent également des appareils compromis et des connexions de confiance pour pivoter dans d’autres réseaux”, selon un avis conjoint de la cybersécurité publié mercredi. “Ces acteurs modifient souvent les routeurs pour maintenir un accès persistant et à long terme aux réseaux.”
The bulletin, courtesy of authorities from 13 countries, said the malicious activity has been linked to three Chinese entities, Sichuan Juxinhe Network Technology Co., Ltd., Beijing Huanyu Tianqiong Information Technology Co., Ltd., and Sichuan Zhixin Ruijie Network Technology Co., Ltd.
Ces sociétés, selon les agences, fournissent des produits et services liés à la cyber aux services de renseignement de la Chine, les données volées aux intrusions, en particulier celles contre les télécommunications et les fournisseurs de services Internet (FAI), offrant à Pékin la possibilité d’identifier et de suivre les communications et les mouvements de leurs cibles dans le monde.
Les pays qui ont co-sécurisé le conseil en matière de sécurité sont l’Australie, le Canada, la République tchèque, la Finlande, l’Allemagne, l’Italie, le Japon, les Pays-Bas, la Nouvelle-Zélande, la Pologne, l’Espagne, le Royaume-Uni et les États-Unis
Brett Leatherman, chef de la cyber-division du Bureau fédéral américain de l’enquête, a déclaré que le groupe Salt Typhoon était actif depuis au moins 2019, se livrant à une campagne d’espionnage persistante visant à “violer les normes mondiales de confidentialité et de sécurité des télécommunications”.
Dans une alerte autonome publiée aujourd’hui, les services de renseignement et de sécurité néerlandais Mivd et AIVD ont déclaré que, alors que les organisations du pays “n’avaient pas reçu le même degré d’attention des pirates de typhon de sel que ceux des États-Unis”, les acteurs de la menace ont eu accès aux routeurs de petits FAI et de fournisseurs d’hébergement. Cependant, il n’y a aucune preuve que les pirates ont pénétré ces réseaux.
“Depuis au moins 2021, cette activité a ciblé les organisations dans des secteurs critiques, notamment le gouvernement, les télécommunications, les transports, l’hébergement et les infrastructures militaires dans le monde, avec un groupe d’activités observées au Royaume-Uni”, a déclaré le National Cyber Security Center.
Selon le Wall Street Journal et le Washington Post, l’équipage de piratage a élargi son objectif de ciblage à d’autres secteurs et régions, attaquant pas moins de 600 organisations, dont 200 aux États-Unis et 80 pays.
https://www.youtube.com/watch?v=drnmky4-0xo
Salt Typhoon, which overlaps with activity tracked as GhostEmperor, Operator Panda, RedMike, and UNC5807, has been observed obtaining initial access through the exploitation of exposed network edge devices from Cisco (CVE-2018-0171, CVE-2023-20198, and CVE-2023-20273), Ivanti (CVE-2023-46805 and CVE-2024-21887) et Palo Alto Networks (CVE-2024-3400).
“Les acteurs APT peuvent cibler les appareils Edge, peu importe qui possède un appareil particulier”, ont noté les agences. “Les appareils appartenant à des entités qui ne s’alignent pas avec les principaux objectifs d’intérêt des acteurs présentent toujours des opportunités d’utilisation dans les voies d’attaque vers les cibles d’intérêt.”
Les périphériques compromis sont ensuite exploités pour pivoter dans d’autres réseaux, dans certains cas, même modifiant la configuration de l’appareil et ajoutant un tunnel d’encapsulation de routage générique (GRE) pour l’accès persistant et l’exfiltration des données.
L’accès persistant aux réseaux cibles est accompli en modifiant les listes de contrôle d’accès (ACL) pour ajouter des adresses IP sous leur contrôle, en ouvrant des ports standard et non standard, et en exécutant des commandes dans un conteneur Linux sur la boîte sur les appareils de mise en réseau Cisco pris en charge pour mettre en scène des outils, traiter les données localement et se déplacer latéralement dans l’environnement.
Les protocoles d’authentification sont également utilisés par les attaquants comme le système de contrôle d’accès du contrôleur d’accès terminal Plus (TACACS +) pour activer les mouvements latéraux à travers les périphériques de réseau, tout en effectuant simultanément des actions de découverte étendues et en capturant le trafic de réseau contenant des références via des routeurs compromis pour approfondir les réseaux.
“Les acteurs APT ont collecté des PCAP en utilisant des outils natifs sur le système compromis, l’objectif principal étant probablement de capturer le trafic TACACS + sur le port TCP 49”, ont indiqué les agences. “Le trafic TACACS + est utilisé pour l’authentification, souvent pour l’administration d’équipements de réseau et y compris les comptes et les informations d’identification des administrateurs de réseau hautement privilégiés, permettant probablement aux acteurs de compromettre les comptes supplémentaires et d’effectuer un mouvement latéral.”
En plus de cela, Salt Typhoon a été observé permettant au service SSHD_OPERN sur les appareils Cisco IOS XR pour créer un utilisateur local et lui accorder des privilèges sudo pour obtenir de la racine sur le système d’exploitation hôte après la connexion via TCP / 57722.
Maniant appartenant à Google, qui était l’un des nombreux partenaires de l’industrie qui a contribué au conseil, a déclaré que la familiarité de l’acteur de menace avec les systèmes de télécommunications leur offre un avantage unique, leur donnant un dessus en ce qui concerne l’évasion de la défense.
“Un écosystème d’entrepreneurs, d’universitaires et d’autres facilitateurs est au cœur du cyber-espionnage chinois”, a déclaré à The Hacker News John Hultquist, analyste en chef du Google Threat Intelligence Group. Les entrepreneurs sont utilisés pour construire des outils et des exploits précieux ainsi que pour effectuer le sale boulot des opérations d’intrusion. Ils ont joué un rôle déterminant dans l’évolution rapide de ces opérations et les ont augmentés à une échelle sans précédent. “
“En plus de cibler les télécommunications, le ciblage de l’hospitalité et du transport par cet acteur pourrait être utilisé pour surveiller étroitement les individus. Les informations de ces secteurs peuvent être utilisées pour développer une image complète de qui quelqu’un parle, où ils se trouvent et où ils vont.”
