FR
FR EN DE JA AR ES
Accueil | Blog | Les géants américains des télécommunications en danger : le cyber-assaut "Salt Typhoon" est lié à la Chine

Les géants américains des télécommunications assiégés : le cyber-assaut "Salt Typhoon" lié à la Chine

Écrit par : Leah Koonthamattam

5 min lire - 15 octobre 2024

Ces derniers mois, des rapports de chercheurs en cybersécurité ont fait état de campagnes d'infiltration massives menées par des pirates chinois et visant l'épine dorsale de l'accès à l'internet américain.

Mais en bref, que faut-il savoir exactement sur le groupe de pirates informatiques Salt Typhoon, prétendument soutenu par Pékin ?

Dans ce blog, nous passerons en revue la situation de la cybercriminalité à ce jour, l'impact des campagnes de réseaux de zombies parrainés par des États et les enseignements que vous devriez partager avec votre équipe SOC.

Rapports sur les écoutes téléphoniques : L'analyse de l'histoire par le WSJ

Le 26 septembre 2024, le Wall Street Journal rapporté un acteur de menace persistante avancée, baptisé "Salt Typhoon", ciblait les fournisseurs d'accès à Internet américains.

Le 5 octobre, le journal a ensuite rapporté que Verizon et AT&T, ainsi que Lumen Technologies, des poids lourds de l'industrie américaine des fournisseurs d'accès à Internet, avaient été infiltrés par le groupe Salt Typhoon, ce qui a incité les responsables du renseignement américain et les chercheurs en cybersécurité du secteur privé à se pencher sur la question.

Le rapport du Wall Street Journal a clarifié la panique provoquée par cette défaillance de la sécurité, en indiquant que "...Les autorités américaines s'efforcent de comprendre l'ampleur du piratage des principaux fournisseurs d'accès à large bande des États-Unis par la Chine, alors que des membres du Congrès craignent que cette intrusion ne constitue un échec dévastateur en matière de contre-espionnage".

L'ambassade de Chine n'a pas répondre Le porte-parole de l'ambassade de Chine à Washington a accusé les États-Unis de fabriquer des preuves de l'implication de la Chine dans ces attaques.

Comprendre le groupe de pirates informatiques Salt Typhoon

Le Groupe Salt Typhoonégalement connu sous le nom de GhostEmperor ou FamousSparrow, est un groupe de pirates informatiques malveillants qui porte bien son nom. Le gouvernement américain et les chercheurs de Microsoft ont confirmé que ce groupe est lié aux services de renseignement chinois. Analystes du FBI ont noté que l'activité de Salt Typhoon pourrait être liée au ministère chinois de la sécurité d'État. En particulier, il a été lié à APT40 (également connu sous le nom de Gingham Typhoon), un groupe connu pour son expertise en matière de collecte de renseignements.

Ci-dessus, un extrait d'un récent APT40 Rapport de la CISA.

Ils sont connus pour leur capacité à infiltrer des architectures réseau complexes en exploitant les vulnérabilités existantes, et se spécialisent dans l'espionnage et le vol de données. Certains chercheurs établissent un lien entre ce groupe et l'exploitation notoire de la Vulnérabilité de ProxyLogon. Il a ciblé les serveurs Microsoft Exchange dans le monde entier en 2021.

Le nom "Salt Typhoon" a été donné au groupe dans le cadre de la convention de dénomination de Microsoft, selon laquelle "Typhoon" est associé à des groupes de pirates informatiques ayant des liens avec la Chine ou le gouvernement chinois.

Qu'en est-il de l'impact des violations des FAI nationaux ?

Jusqu'à présent, trois fournisseurs de services Internet basés aux États-Unis semblent avoir été pénétrés par le groupe Salt Typhoon : Verizon, AT&T et Lumen Technologies. Aucune de ces entreprises n'a commenté publiquement cet incident critique.

Les enquêtes indiquent que le groupe de pirates informatiques ciblait les portes dérobées mises en place par ces entreprises pour fournir au gouvernement américain des capacités de surveillance et d'interception légitimes et exigées par la justice, ce qui signifie que les acteurs malveillants ont pu non seulement conserver l'accès aux infrastructures et aux informations critiques, mais aussi surveiller le trafic Internet général via les réseaux d'AT&T et de Verizon, qui englobent à eux deux environ 68% de la population américaine trafic sans fil.

Ces accès au réseau obtenus par les attaquants auraient pu être maintenus pendant des mois ou plus longtemps sans être remarqués. Les fournisseurs d'accès à l'internet sont des entreprises qui permettent aux particuliers et aux entreprises d'accéder à l'internet. Ils vendent des équipements tels que des modems et des routeurs, ainsi qu'un accès au courrier électronique et des plans de réseau. Ces équipements sont largement utilisés par les particuliers, les foyers et les entreprises pour leurs activités quotidiennes sur l'internet.

Les fournisseurs d'accès à large bande sont généralement des cibles de choix pour les groupes APT, en particulier ceux qui sont soutenus par des États-nations. Ils sont ciblés en raison de la nature sensible des données qu'ils traitent et de l'importance critique de l'infrastructure concernée. Les fournisseurs de services Internet étant généralement l'un des premiers et des plus importants maillons d'une chaîne d'approvisionnement, la compromission à ce niveau peut entraîner toute une série de risques.

Elles peuvent prendre la forme suivante

  • Le vol de propriété intellectuelle (PI)
  • Violation de données sensibles
  • Campagnes de réseaux de zombies malveillants

Ils ciblent toute industrie critique dont les appareils sont connectés à l'internet ou surveillent le trafic internet d'une population. Ces mesures ont un impact profond et à long terme sur les capacités économiques et sécuritaires d'un pays.

Quelques tendances notables dans les récentes cyberattaques chinoises

L'attaque Salt Typhoon est la dernière d'une série d'attaques liées à des cybermenaces provenant de Chine.

Typhon de lin

En septembre de cette année, le FBI a identifié et atténué une campagne massive de botnet menée par un autre groupe appelé "Flax Typhoon". Le FBI a indiqué que ce groupe, sur ordre du gouvernement chinois, avait a infecté plus de 260 000 dispositifs de mise en réseau dans le monde entier. 47,9% ont été découverts aux États-Unis, suivis de 8% au Vietnam et de 7,2% en Allemagne. La campagne aurait débuté en mai 2020 et aurait établi un réseau à plusieurs niveaux avec des systèmes de contrôle de niveau professionnel. Ceux-ci ont géré le grand nombre d'entités infectées au cours des quatre années suivantes, jusqu'à ce qu'elle soit découverte en 2024.

Une communication récente du FBI sur ces attaques croissantes de la part de la RPC.

Volt Typhoon

Au début de l'année, les forces de l'ordre américaines ont également mis hors d'état de nuire un autre groupe similaire, baptisé "Volt Typhoon". Ce groupe tentait principalement de cibler le gouvernement des États-Unis et ses alliés au sein de l'alliance de renseignement Five Eyes. Volt Typhoonégalement connu sous les noms de Vanguard Panda, Bronze Silhouette, entre autres, a compromis des milliers d'appareils dans le monde entier. Il a été identifié publiquement par des chercheurs de Microsoft en mai 2023.

Volt Typhoon est actif depuis le milieu de l'année 2021. Il utilise des logiciels malveillants qui ciblent les systèmes interconnectés dont les mots de passe administratifs sont faibles et les versions des systèmes obsolètes. En 2023, le groupe de pirates a compromis le système d'approvisionnement en eau de Guam, un territoire des États-Unis situé dans l'océan Pacifique. Bien que les systèmes soient restés intacts et en ligne jusqu'à la découverte du logiciel malveillant, les autorités se sont inquiétées de cette menace. On pense qu'il pourrait s'agir d'un moyen de perturber les communications entre les États-Unis et l'Asie en cas d'escalade militaire dans la région. Il a également été signalé qu'il s'agissait d'une manœuvre visant à empêcher la station militaire américaine située sur l'île d'accéder à l'approvisionnement en eau.

Vous souhaitez en savoir plus sur les menaces de phishing et de ransomware ciblant les hôpitaux ? Lisez notre dernier guide, Hôpitaux et ransomware : Une maladie envahissante.

Conclusion

Voici un résumé rapide de l'histoire jusqu'à présent :

  • Typhon salé est le dernier en date d'une longue liste de groupes de cybermenaces ciblant des infrastructures américaines essentielles. Elle a été attribuée aux efforts du gouvernement chinois en matière de collecte de renseignements étrangers et de cyberespionnage.
  • Ces attaques soulignent l'importance de la cybersécurité pour l'avenir des conflits géopolitiques et les préoccupations en matière de sécurité nationale.
  • Système d'interception légaleet les portes dérobées utilisées par les autorités légitimes chargées de l'application de la loi dans les infrastructures de communication critiques, semblent être le maillon faible. C'est ce maillon qui a permis aux acteurs malveillants d'accéder à ces infrastructures.
  • Approfondissement et audit régulier des journaux d'accès et des modèles d'activité inhabituels pour les entreprises de télécommunications et leurs clients sont nécessaires.
  • Débats sur les systèmes d'interception légale et les portes dérobées incorporées dans les infrastructures de communication critiques ont été renouvelées.

Intéressé par d'autres contenus de qualité ? Consultez notre récente analyse de Microsoft sur les PME blog. Vous pouvez également suivre nos réseaux sociaux ; LinkedIn, Twitter/Xet Facebookpour bénéficier chaque semaine d'un contenu et d'une analyse inédits.

À propos de l'auteur

Leah Koonthamattam

Leah est une analyste expérimentée en cybersécurité avec plus de deux ans d'expérience dans l'industrie chez CybelAngel. Elle a une formation en géopolitique et en sécurité.

lire tous les articles