Un groupe de services de renseignement mondiaux met en garde les opérateurs de télécommunications et d’autres secteurs contre le piratage de routeurs par la Chine.
Un partenariat mondial de services de renseignement met en garde contre le piratage de routeurs activement attaqués par des pirates soutenus par le gouvernement chinois. Les cyberattaques visent un accès à long terme aux systèmes via, entre autres, les routeurs principaux, les systèmes centraux et les routeurs grand public, et ciblent des secteurs tels que les télécommunications et la défense. Les services de renseignement recommandent de corriger certaines vulnérabilités dès que possible.
Routeurs piratés
Selon l’Agence américaine de cyberdéfense, les acteurs de la cybermenace liés à la Chine ciblent les réseaux mondiaux dans des secteurs tels que les télécommunications, les transports, le gouvernement et la défense. Ces acteurs se concentreraient notamment sur les grands routeurs principaux, les routeurs périphériques des fournisseurs et l’infrastructure réseau orientée client. Les attaques passent par des modifications de l’équipement réseau et l’exploitation de connexions de confiance, dans le but d’obtenir un accès à long terme et difficile à détecter aux systèmes internes.
Selon le secteur de la sécurité, les acteurs concernés portent différents noms, notamment Salt Typhoon, OPERATOR PANDA, RedMike et GhostEmperor. Dans le rapport, les gouvernements utilisent le terme générique « Menaces persistantes avancées » (APT). L’activité a été observée notamment aux États-Unis, au Canada, au Royaume-Uni, en Australie, en Nouvelle-Zélande, ainsi que dans des pays européens tels que l’Allemagne, la Finlande et les Pays-Bas.
Avertissement international
Les enquêtes montrent que les acteurs APT utilisent principalement des vulnérabilités connues du public et d’autres faiblesses évitables dans l’infrastructure réseau. Jusqu’à présent, aucun abus de vulnérabilités zero-day n’a été constaté, mais les acteurs de la menace adaptent constamment leurs tactiques et étendent l’utilisation des vulnérabilités existantes. Ce faisant, ils ciblent des appareils tels que les pare-feu de Fortinet, Juniper et SonicWall, les routeurs et commutateurs de Nokia, les serveurs Microsoft Exchange et les appareils Sierra Wireless.
Les acteurs exploitent des infrastructures telles que des serveurs privés virtuels et des routeurs intermédiaires compromis pour accéder aux réseaux, notamment des opérateurs de télécommunications. Ils exploitent des vulnérabilités telles que CVE-2024-21887 et CVE-2023-46805 (Ivanti Connect Secure), CVE-2024-3400 (Palo Alto Networks PAN-OS GlobalProtect), CVE-2023-20198 et CVE-2023-20273 (Cisco IOS XE) et CVE-2018-0171 (Cisco IOS).
Dans certains cas, ils utilisent des techniques telles que le double chiffrement des requêtes, la mise en miroir du trafic ou le tunneling via GRE/IPsec pour rediriger ou observer le trafic. Les appareils périphériques des organisations qui ne sont pas l’objectif principal sont également utilisés comme tremplin vers d’autres réseaux via des connexions de confiance entre les fournisseurs.
Les services de renseignement appellent les organisations à détecter de manière proactive les activités suspectes et à signaler toute compromission aux autorités compétentes.