La tempête silencieuse : La cyberattaque massive de Salt Typhoon's Telco

Ce blog met en lumière les activités cybernétiques malveillantes menées par le groupe de cybermenaces affilié à la République populaire de Chine (RPC), connu sous le nom de Salt Typhoon contre des fournisseurs d'infrastructures de télécommunications. Des rapports récents suggèrent que Salt Typhoon cybercriminels a compromis les réseaux de grandes organisations mondiales de télécommunications, menant de vastes et importantes campagnes de cyberespionnage.

En réponse, la Cybersecurity and Infrastructure Security Agency (CISA), en collaboration avec la National Security Agency (NSA), le Federal Bureau of Investigation (FBI) et des partenaires internationaux, a publié le Enhanced Visibility and Hardening Guidance for Communications Infrastructure afin d'aider les ingénieurs et les défenseurs des réseaux à améliorer la visibilité et les pratiques de durcissement. Ces orientations visent à réduire l'exposition aux tentatives d'exploitation et à renforcer la sécurité globale des dispositifs de réseau.

La criticité des attaques contre les opérateurs de télécommunications

Les réseaux de télécommunications sont les lignes de vie de la société moderne, permettant les communications personnelles, soutenant les opérations de sécurité nationale et soutenant les activités économiques mondiales. En ciblant ces infrastructures critiques, le groupe de menace affilié à la RPC, connu sous le nom de Salt Typhoon , exploite le rôle central que jouent les sociétés de télécommunications dans les fonctions gouvernementales, le commerce et la vie de tous les jours. En s'attaquant directement aux fournisseurs de télécommunications, Salt Typhoon peut :

• Intercepter les communications sensibles : L'accès aux transmissions vocales et de données permet d'obtenir des renseignements précieux sur les activités gouvernementales, les stratégies d'entreprise et les informations personnelles.
• Perturber les services essentiels : La compromission de l'infrastructure des télécommunications peut entraîner des coupures de service généralisées, affectant l'économie, la sécurité publique et les capacités d'intervention en cas d'urgence.
• Établir des plates-formes d'espionnage à long terme : L'accès permanent permet une surveillance continue, l'exfiltration de données et la possibilité de manipuler les communications sur de longues périodes.

Ces actions ont de graves conséquences, notamment l'atteinte à la sécurité nationale, la déstabilisation des cadres économiques et l'érosion de la confiance du public dans les systèmes de communication. Salt TyphoonLes opérations de l'OMPI sont conformes aux objectifs généralement associés au cyberespionnage parrainé par un État :

1. Collecte de renseignements stratégiques : Obtention d'informations classifiées, de secrets commerciaux et de communications stratégiques afin d'obtenir des avantages politiques et économiques.
2. L'effet de levier technologique : Voler la propriété intellectuelle et les données sensibles pour renforcer les capacités technologiques nationales sans encourir de coûts de recherche et de développement.
3. Préparation à la cyberguerre : Intégration dans les infrastructures critiques pour se préparer à d'éventuels conflits futurs, où le contrôle des communications pourrait conférer des avantages stratégiques significatifs.
4. Influence et manipulation : Surveillance ou même modification des communications pour soutenir des campagnes de désinformation, des efforts d'espionnage ou des tentatives d'affaiblir la confiance du public dans les institutions.

En se concentrant sur les télécommunications, Salt Typhoon étend sa portée au-delà d'un seul secteur, amplifiant ainsi son influence et augmentant la gravité de son impact potentiel. Cette approche globale renforce la menace qui pèse sur les systèmes de communication essentiels dans le monde entier.

Prochaines actions potentielles de Salt Typhoon

Compte tenu de leurs tactiques agressives et de l'élargissement de leur champ d'action, Salt Typhoon peut :

• Étendre les attaques à d'autres secteurs d'infrastructures critiques tels que l'énergie, la finance, les soins de santé et les transports.
• Développer des malware, des rootkits et des exploits de type "zero-day" plus avancés afin de ne pas être détectés et de conserver un accès à long terme.
• Exploiter les vulnérabilités de la chaîne d'approvisionnement en ciblant les fournisseurs et les sous-traitants tiers afin d'infiltrer d'autres réseaux et de propager malware.
• Exploiter les données compromises à des fins stratégiques, de chantage ou pour lancer d'autres attaques ciblées.

Les organisations doivent anticiper ces mouvements potentiels et renforcer leur dispositif de cybersécurité en conséquence.

Principales recommandations de la CISA

Les dernières orientations de la CISA mettent l'accent sur les mesures de prévention et de détection. Les organisations doivent mettre en œuvre les actions recommandées en matière de visibilité, de surveillance, de gestion de la configuration, de segmentation, de protocoles sécurisés, de contrôles d'accès et de techniques de renforcement spécifiques aux fournisseurs.

1. Renforcer la visibilité et le suivi

Salt TyphoonLes opérations des pirates s'appuient sur des méthodes d'intrusion furtives et sur la dissimulation dans le trafic réseau normal. L'amélioration de la visibilité et de la surveillance permet aux défenseurs de détecter rapidement les comportements anormaux, d'identifier les mouvements latéraux suspects et de réagir rapidement avant que les attaquants ne prennent pied.

Les recommandations de la CISA :

• Examiner de près les changements de configuration des périphériques du réseau et mettre en place un système d'alerte complet pour détecter les modifications non autorisées.
• Utilisez des solutions de contrôle des flux performantes, assurez une journalisation centralisée avec cryptage et stockez les données de journalisation en toute sécurité.
• Intégrer des capacités de capture de paquets et établir une base de référence du comportement normal du réseau afin de détecter les anomalies.

Vectra AI l'alignement :

Vectra AI Attack Signal Intelligence applique des techniques de détection comportementale et de corrélation basées sur l'IA à l'ensemble de l'empreinte de l'attaque, y compris les hôtes, les comptes et les charges de travail. En utilisant une approche centrée sur l'entité pour la détection des menaces, offre aux équipes de sécurité une visibilité complète sur l'activité du réseau et le comportement des utilisateurs. Vectra AI

Cela est conforme aux pratiques recommandées pour renforcer la visibilité et la surveillance, car cela permet aux opérateurs de.. :

• Corréler et hiérarchiser les événements : Exploiter les analyses intégrées pour relier des indicateurs apparemment anodins provenant de diverses sources (routeurs, pare-feu et terminaux, par exemple) en une description cohérente et hiérarchisée des menaces.
• Améliorer les opérations de sécurité: Intégration transparente avec les outils SIEM pour enrichir les journaux et les alertes avec du contexte, réduire le bruit et permettre un triage et une investigation plus efficaces.
• Accélérer les temps de réponse: Détecter et suivre les actions adverses en temps réel, afin que les équipes de sécurité puissent agir rapidement avant que les attaquants ne prennent pied ou ne causent des dommages importants. En offrant une visibilité approfondie et continue et des informations contextuelles, Vectra AI aide les organisations à s'aligner sur les directives de la CISA et de ses partenaires, en veillant à ce que les systèmes de surveillance puissent détecter, enquêter et répondre efficacement aux tactiques et techniques employées par des groupes de menace sophistiqués tels que Salt Typhoon.

2. Durcissement des systèmes et des dispositifs

Salt Typhoon exploite les vulnérabilités non corrigées, les configurations faibles et les réseaux de gestion non sécurisés. En renforçant les systèmes et les appareils, les organisations réduisent la capacité des attaquants à exploiter les faiblesses connues et limitent l'impact d'une intrusion réussie.

Les recommandations de la CISA :

• Mettre en œuvre des réseaux de gestion hors bande physiquement séparés du réseau de flux de données.
• Appliquer des listes de contrôle d'accès (ACL) par défaut et une segmentation stricte à l'aide de réseaux locaux virtuels, de zones démilitarisées et de structures défensives en couches.
• Utilisez des méthodes cryptographiques fiables pour les VPN et désactivez les services inutiles.
• Appliquez régulièrement les correctifs des fournisseurs, suivez un processus solide de gestion des changements et adhérez à des politiques de mots de passe sécurisés.

Vectra AI l'alignement :

Alors que les entreprises appliquent des configurations renforcées, Vectra AI offre une visibilité continue sur les segments du réseau et détecte les tentatives de mouvement latéral qui peuvent contourner les défenses traditionnelles. Les analyses avancées de la solution permettent d'identifier les écarts de comportement causés par les accès malveillants et l'escalade des privilèges, ce qui aide les opérateurs à maintenir une segmentation solide et à appliquer des politiques d'accès strictes.

3. Protocoles et processus de gestion

Salt Typhoon s'appuie sur des protocoles non sécurisés, une authentification faible et des identifiants administratifs mal gérés pour pivoter au sein des réseaux. Le renforcement des protocoles et des processus de gestion limite la capacité des adversaires à obtenir des privilèges élevés et à se déplacer dans les infrastructures critiques.

Les recommandations de la CISA :

• Restreindre la gestion des appareils à des postes de travail administratifs dédiés et de confiance.
• Désactiver ou limiter l'exposition du trafic de gestion à l'internet.
• Utiliser un cryptage fort et des algorithmes cryptographiques modernes pour les protocoles de gestion.
• Employer des cadres de contrôle d'accès basé sur les rôles (RBAC) et d'authentification, d'autorisation et de comptabilité (AAA).

Vectra AI l'alignement :

La plateformeVectra AI détecte les événements d'authentification suspects et peut alerter les opérateurs en cas d'anomalies dans les protocoles de gestion ou d'activités de compte inattendues. Cela complète les contrôles d'accès rigoureux et garantit que toute tentative malveillante de gestion des dispositifs du réseau est signalée pour faire l'objet d'une enquête opportune.

4. Conseils spécifiques à Cisco

Salt Typhoon a été observé en train d'exploiter des fonctions et des paramètres par défaut propres à Cisco. L'application des recommandations de renforcement ciblées par Cisco réduit les possibilités pour l'adversaire d'abuser des capacités spécifiques au fournisseur et d'obtenir un accès persistant au réseau.

Les recommandations de la CISA :

• Désactiver les fonctions spécifiques à Cisco (par exemple, Smart Install) si elles ne sont pas nécessaires.
• Appliquer des paramètres de gestion web sécurisés ou désactiver les services web inutiles.
• Adopter des mécanismes sécurisés de stockage des mots de passe (par exemple, Type-8) et s'assurer que les clés TACACS+ sont cryptées.

Vectra AI l'alignement :

Alors que les défenseurs du réseau renforcent les environnements Cisco, Vectra AI surveille en permanence l'introduction de schémas malveillants indiquant des comportements de menaces affiliées à la République populaire de Chine observés précédemment. Cette technologie complète les meilleures pratiques des fournisseurs, en aidant à la détection d'activités suspectes qui peuvent apparaître après l'application des efforts de renforcement.

5. Rapport d'incident et sécurité dès la conception

Salt TyphoonLes attaques de l'UE bénéficient de réponses tardives et de produits non sécurisés. Des rapports rapides aident les agences gouvernementales à suivre l'évolution des menaces et à y répondre, tandis que les principes de sécurité dès la conception réduisent la complexité et le risque d'intrusion dès le départ.

• Signaler toute activité suspecte aux autorités compétentes (FBI, CISA, homologues étrangers).
• Adopter des principes de sécurité dès la conception et exiger des vendeurs et des fournisseurs des paramètres de sécurité par défaut.

En offrant une meilleure visibilité et des capacités de détection robustes, Vectra AI soutient les processus plus larges de réponse aux incidents des organisations. La détection précoce s'aligne sur les principes de la conception sécurisée en minimisant le temps d'attente et en atténuant l'impact des activités des adversaires. En outre, les informations fournies par la solution peuvent aider à la collecte de preuves et faciliter l'établissement de rapports en temps voulu aux autorités.

Salt TyphoonLe ciblage des infrastructures de télécommunications par l'armée américaine souligne l'importance d'adopter les mesures globales décrites dans le document Enhanced Visibility and Hardening Guidance for Communications Infrastructure (Directives sur l'amélioration de la visibilité et le renforcement des infrastructures de communication). Les ingénieurs réseau et les défenseurs devraient mettre en œuvre ces recommandations afin d'améliorer leur posture de sécurité et de réduire les possibilités d'intrusion par des adversaires.

L'intégration de solutions de sécurité conformes à ces recommandations renforce encore les défenses. Vectra AILes capacités de la solution de sécurité de l'entreprise complètent les conseils de la CISA en améliorant la visibilité, en rationalisant la corrélation des événements et en détectant les anomalies comportementales qui indiquent une activité malveillante. En combinant des pratiques rigoureuses de renforcement, le respect des principes de sécurité dès la conception et des technologies avancées telles que Vectra AI, les organisations peuvent mieux protéger leurs infrastructures critiques contre les menaces en constante évolution posées par les groupes affiliés à la RPC et d'autres groupes de menace malveillants.

Vous voulez voir la plateforme Vectra AI en action ? Suivez notre visite guidée ou demandez une démonstration personnalisée dès aujourd'hui.