Analyse d'attaque : Se défendre contre le ransomware Codefinger dans AWS S3 >

Analyse d'attaque : Se défendre contre le ransomware Codefinger dans AWS S3 >

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
Décryptage d'attaque

Salt Typhoon : une menace critique pour les télécoms

12 décembre 2024
Lucie Cardiet
Product Marketing Manager
Salt Typhoon : une menace critique pour les télécoms

Ce blog analyse les techniques employées par  Salt Typhoon, un groupe APT affilié à la République populaire de Chine (RPC), qui cible spécifiquement les opérateurs d’infrastructures de télécommunications. Selon plusieurs rapports récents, ce groupe a compromis les réseaux de grandes entreprises télécoms, menant des campagnes étendues de cyberespionnage.

La CISA (Cybersecurity and Infrastructure Security Agency), en collaboration avec la NSA (National Security Agency) et le FBI (Federal Bureau of Investigation) a publié un document intitulé Enhanced Visibility and Hardening Guidance for Communications Infrastructure  afin d'aider les équipes de sécurité à renforcer leurs dispositifs de sécurité.

Pourquoi les télécoms sont une cible stratégique

Les réseaux de télécommunications sont au cœur de la vie moderne. Ils soutiennent les communications personnelles, la sécurité nationale et jouent un rôle stratégique dans l’économie mondiale. En ciblant ces infrastructures essentielles, Salt Typhoon exploite leur importance cruciale pour :

  • Intercepter des communications sensibles : Accès à des informations critiques sur les activités gouvernementales, les stratégies d’entreprises et les données personnelles.
  • Perturber les services essentiels : Les compromissions peuvent provoquer des interruptions massives, impactant l’économie, la sécurité publique et les réponses d’urgence.
  • Maintenir un accès prolongé :  Surveillance continue, exfiltration de données et manipulation des communications sur le long terme.

Ces attaques ont des répercussions graves : atteinte à la sécurité nationale, déstabilisation économique et perte de confiance envers les systèmes de communication. Les opérations menées par Salt Typhoon visent principalement :

  1. La collecte de renseignements stratégiques : Acquisition d’informations classifiées, secrets industriels et communications confidentielles pour des avantages économiques ou politiques.
  2. Vol de propriété intellectuelle : Exploitation de données sensibles pour accélérer des développements technologiques sans investissements propres.
  3. La préparation à la cyberguerre : Infiltration des infrastructures critiques pour des conflits futurs.
  4. Manipulation et influence : Surveiller ou altérer les communications pour favoriser la désinformation ou saper la confiance publique.

En ciblant le secteur des télécommunications, Salt Typhoon accroît son impact et multiplie les conséquences. Cette stratégie globale représente une menace majeure pour les systèmes de communication à l’échelle mondiale.

Et maintenant, que prévoit Salt Typhoon ?

Au vu de ses tactiques agressives et de son champ d’action grandissant, Salt Typhoon pourrait :

  • Étendre ses attaques à d’autres secteurs critiques comme l’énergie, la finance ou les transports.
  • Concevoir des malwares plus sophistiqués pour échapper aux détections.
  • Exploiter les chaînes d’approvisionnement pour s’infiltrer dans d’autres réseaux.
  • Utiliser les données volées à des fins de chantage ou d’attaques ciblées.

Il est important pour toute organisation d'anticiper ces scénarios et de renforcer sa stratégie de cybersécurité en conséquence.

Les TTPs utilisées par Salt Typhoon

Que recommande la CISA ?

Le  document récemment publié par la CISA propose des mesures concrètes pour améliorer la détection des attaques et renforcer la sécurité des réseaux.

1. Renforcer la visibilité et la surveillance

Salt Typhoon se dissimule dans le trafic réseau habituel. Une meilleure visibilité permet d’identifier rapidement les comportements suspects.

Recommandations de la CISA :

  • Surveiller de près les changements de configuration des équipements réseau et mettre en place des alertes pour repérer toute modification non autorisée.
  • Utiliser des solutions de monitoring avancées, centraliser et chiffrer les journaux, et les stocker de façon sécurisée.
  • Utiliser des outils de capture de paquets pour  détecter les anomalies.

Alignement de Vectra AI :

Vectra utilise l'IA pour analyser le comportement des utilisateurs et des hôtes. Sa technologie corrèle les événements pour fournir une vue globale des menaces et hiérarchiser les alertes.

La plateforme Vectra AI permet aux équipes sécurité de :

  • Corréler et hiérarchiser les événements : exploiter des analyses intégrées afin de relier des indicateurs, en apparence isolés, provenant de multiples sources (routeurs, pare-feu, terminaux, etc.) en une description cohérente et priorisée de la menace.
  • Améliorer les opérations de sécurité: intègrer Vectra AI avec les solutions SIEM pour enrichir les journaux et les alertes avec du contexte, réduire le bruit et faciliter le triage et l’investigation.
  • Accélérer les temps de réponse: détecter et suivre les actions adverses en temps réel, permettant ainsi aux équipes de sécurité d’intervenir rapidement avant que les attaquants ne s’installent durablement ou ne causent des dommages significatifs.

2. Durcir les systèmes et les dispositifs

Salt Typhoon exploite les vulnérabilités non corrigées et les configurations mal sécurisées, ce qui lui permet de pénétrer les systèmes critiques et de s’y maintenir durablement.

Recommandations de la CISA :

  • Séparer les réseaux de gestion et de production.
  • Appliquer par défaut des listes de contrôle d’accès (ACL) et segmenter strictement à l’aide de VLAN, de DMZ et d’une architecture en couches.
  • Utiliser des méthodes cryptographiques solides pour les VPN et désactiver les services superflus.
  • Effectuer régulièrement les mises à jour de sécurité, gérer rigoureusement les changements de configuration et adopter des politiques de mots de passe fortes.

Alignement de Vectra AI :

Grâce à une surveillance continue de la segmentation du réseau, Vectra AI repère les tentatives de déplacement latéral, même si elles contournent les défenses classiques. L’analyse poussée de Vectra AI détecte les anomalies provenant d’accès malveillants ou d’élévations de privilèges, contribuant ainsi à faire respecter les règles de segmentation et d’accès strict.

3. Protocole de gestion et contrôles d’accès

Salt Typhoon s’appuie sur des protocoles non sécurisés, une authentification faible et une gestion inadéquate des comptes administratifs pour se déplacer au sein des réseaux. Le renforcement des processus de gestion et des protocoles de sécurité complique l’obtention de privilèges élevés et limite la propagation dans les infrastructures critiques.

Recommandations de la CISA :

  • Restreindre la gestion des équipements à des postes d’administration dédiés et fiables.
  • Désactiver ou limiter l'exposition du trafic de gestion sur internet.
  • Mettre en œuvre un chiffrement robuste et des algorithmes cryptographiques modernes pour les protocoles de gestion.
  • Mettre en place des mécanismes de contrôle d’accès basés sur les rôles (RBAC) et d’authentification, d’autorisation et de comptabilité (AAA).

Alignement de Vectra AI :

La plateforme Vectra AI  signale les activités d’authentification suspectes, les anomalies dans les protocoles de gestion et les actions inattendues sur les comptes. Cette détection en temps réel soutient les politiques de contrôle d’accès et permet d’agir rapidement en cas de tentative malveillante.

4. Spécificités Cisco

Salt Typhoon exploite des fonctionnalités et des configurations par défaut propres à Cisco. Appliquer les mesures de durcissement préconisées par Cisco atténue la probabilité que des attaquants profitent de ces spécificités pour maintenir un accès persistant au réseau.

Recommandations de la CISA :

  • Désactiver les fonctionnalités Cisco inutiles (ex. Smart Install).
  • Mettre en place des configurations de gestion web sécurisées ou désactiver les services web non utilisés.
  • Utiliser des mécanismes de stockage sécurisés pour les mots de passe (ex. Type-8) et s’assurer que les clés TACACS+ soient chiffrées.

Alignement de Vectra AI :

En parallèle du renforcement de l’environnement Cisco, Vectra AI surveille les schémas malveillants susceptibles de révéler une activité liée aux menaces déjà associées à la RPC. Cette surveillance permanente complète les bonnes pratiques recommandées par les fournisseurs en identifiant rapidement les comportements suspects.

5. Signalement des incidents

Salt Typhoon profite des réponses tardives et des environnements mal sécurisés. Un signalement rapide des incidents permet aux organismes gouvernementaux de suivre l’évolution des menaces et d’y répondre plus efficacement. Les principes de sécurité dès la conception (secure by design) réduisent la complexité et le risque d’intrusion dès le départ.

  • Signaler toute activité anormale aux autorités compétentes (l’ANSSI en France, le Centre pour la Cybersécurité (CCB) en Belgique et la MELANI (Centrale d’annonce et d’analyse pour la sécurité de l’information) en Suisse).
  • Adopter des principes de sécurité lors de la conception et exiger des configurations sécurisées par défaut auprès des fournisseurs et prestataires.

Vectra AI accélère la détection et la réponse, tout en fournissant des preuves exploitables pour le signalement.

En ciblant les infrastructures de télécommunications, Salt Typhoon souligne la nécessité d’une approche proactive et renforcée de la cybersécurité.

Adopter les recommandations de la CISA et intégrer des solutions avancées comme Vectra AI permet de réduire les risques et d’améliorer la résilience face à ces menaces persistantes.

Vous souhaitez voir comment Vectra AI peut protéger vos infrastructures critiques ? Suivez notre visite guidée ou demandez une démonstration.

Foire aux questions