Salt Typhoon compromet les matériels Cisco des opérateurs de télécoms

Le groupe malveillant Salt Typhoon, parrainé par l’État chinois, s’est invité dans les réseaux de cinq opérateurs télécoms, dans le cadre d’une campagne ayant concerné plus de 1 000 équipements Cisco dans le monde, selon le groupe Insikt de Recorded Future.

Salt Typhoon, que le groupe Insikt suit sous le nom de RedMike, est devenu l’un des plus en vue dans le domaine des menaces avancées persistantes (APT). Le groupe est notamment à l’origine d’une vaste campagne de cyberespionnage outre-Atlantique, révélée à l’automne dernier. Les chercheurs de Recorded Future ont découvert que les attaques de Salt Typhoon contre les fournisseurs de télécommunications se sont poursuivies au-delà de ces brèches initiales.

Les dernières recherches de Recorded Future, publiées jeudi dernier dans un billet de blog, décrivent une campagne Salt Typhoon observée entre décembre et janvier, au cours de laquelle l’acteur malveillant a exploité « des équipements de réseau Cisco non patchés et exposés sur Internet, principalement associés à des opérateurs télécoms mondiaux ». Plus de 1 000 équipements dans le monde ont été concernés et cinq opérateurs ont été effectivement compromis lors de ces attaques, notamment un fournisseur de services Internet et de télécommunications américain et une filiale américaine d’un opérateur de télécoms britannique.

« Insikt Group a observé RedMike viser et exploiter des équipements réseau Cisco non patchés affectés par la vulnérabilité CVE-2023-20198, une vulnérabilité d’élévation des privilèges trouvée dans l’interface utilisateur Web (UI) du logiciel Cisco IOS XE, pour un accès initial avant d’exploiter une vulnérabilité d’élévation de privilège associée, la CVE-2023-20273, pour obtenir des privilèges root », indique le rapport. « RedMike reconfigure l’appareil et ajoute un tunnel d’encapsulation de routage générique (GRE) pour assurer sa persistance », précise le billet.

Cisco a révélé les vulnérabilités CVE-2023-20198 et CVE-2023-20273 en octobre 2023, la première ayant été révélée le 16 octobre et la seconde ayant été découverte quelques jours plus tard. L’éditeur de solutions de sécurité VulnCheck a constaté à l’époque que des acteurs malveillants avaient compromis des milliers d’appareils Cisco exposés en exploitant les failles. Un correctif a été publié le 22 octobre.

L’Insikt Group a observé que Salt Typhoon visait des équipements dans des universités de plusieurs pays, dont l’Argentine, le Bangladesh, l’Indonésie, la Malaisie, le Mexique, les Pays-Bas, la Thaïlande, les États-Unis et le Vietnam : « RedMike a probablement visé ces universités pour accéder à la recherche dans des domaines liés aux télécommunications, à l’ingénierie et à la technologie, en particulier dans des institutions telles que UCLA et TU Delft ».

En outre, Recorded Future a également vu Salt Typhoon effectuer une reconnaissance des adresses IP appartenant à l’opérateur télécoms Mytel, au Myanmar. Plus de la moitié des équipements suivis étaient basés aux États-Unis, en Amérique du Sud et en Inde, le reste étant réparti dans plus de 100 autres pays.

Le groupe Insikt estime que cette campagne de Salt Typhoon était axée sur des cibles spécifiques, étant donné le grand nombre d’appareils Cisco exposés à l’Internet.

« En utilisant des données de balayage Internet, le groupe Insikt a identifié plus de 12 000 appareils de réseau Cisco dont les interfaces Web sont exposées à Internet », peut-on lire sur le blog. « Bien que plus de 1 000 appareils Cisco aient été visés, Insikt Group estime que cette activité était probablement ciblée, étant donné que ce nombre ne représente que 8 % des appareils exposés et que RedMike s’est engagé dans une activité de reconnaissance périodique, en sélectionnant des appareils liés à des opérateurs télécoms ».