Selon SecurityAffairs, les agences NSA (États-Unis), NCSC (Royaume‑Uni) et des alliés publient un avis conjoint intitulé “Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System” reliant des opérations d’APT chinoises (dont Salt Typhoon) à des intrusions contre les secteurs télécom, gouvernement, transport, hôtellerie et militaire.
🚨 Les activités décrites chevauchent les groupes suivis comme Salt Typhoon, OPERATOR PANDA, RedMike, UNC5807 et GhostEmperor. L’avis associe aussi ces opérations à des entités chinoises telles que Sichuan Juxinhe Network Technology Co. Ltd., Beijing Huanyu Tianqiong Information Technology Co., Ltd., et Sichuan Zhixin Ruijie Network Technology Co., Ltd.. Les acteurs tirent parti de CVE connues et de mauvaises configurations (plutôt que de 0‑day), avec une focalisation sur les équipements en bordure de réseau et une possible extension aux produits Fortinet, Juniper, Microsoft Exchange, Nokia, Sierra Wireless, SonicWall. Les défenseurs sont exhortés à prioriser le patching des CVE historiquement exploitées.
Vulnérabilités exploitées (exemples)
- CVE-2024-21887 (Ivanti Connect Secure / Policy Secure – injection de commandes), souvent chaînée avec CVE-2023-46805 (contournement d’authentification).
- CVE-2024-3400 (Palo Alto Networks PAN‑OS GlobalProtect – création de fichier arbitraire menant à RCE non authentifiée sur certaines versions/configurations).
- CVE-2023-20273 (Cisco IOS XE – injection de commandes/élévation post‑auth), généralement chaînée avec CVE-2023-20198 (contournement d’authentification sur l’UI web) pour une exécution en root.
- CVE-2018-0171 (Cisco IOS/IOS XE Smart Install – RCE).
TTPs clés observées
- Accès initial: exploitation de CVE sur dispositifs exposés, usage de VPS et de routeurs compromis, campagnes à large échelle avec tentatives répétées.
- Abus des interconnexions de confiance: modification du routage, miroir de trafic, tunnels GRE/IPsec; exploitation d’équipements périphériques, y compris hors périmètre direct de la cible, pour pivoter.
- Persistance et exécution: modification d’ACL pour contourner la sécurité, ouverture de ports (standards/non‑standards), activation/abus de SSH/HTTP/HTTPS, commandes via SNMP, utilisation d’identifiants volés, scripts Tcl, configuration de tunnels GRE/IPsec.
- Outils et plates‑formes: sur équipements Cisco, abus de Linux Guest Shell (staging d’outils, exécution Python, mouvement latéral discret); outil de pivot STOWAWAY pour C2 et exfiltration.
- Mouvement latéral: exploitation de TACACS+, RADIUS, SNMP, SSH; collecte de configurations, données de routage (BGP, MPLS), dossiers abonnés/clients; capture de trafic (PCAP) via Cisco Embedded Packet Capture ou redirection TACACS+ vers serveurs contrôlés par l’acteur.
- Évasion et exfiltration: création de comptes, réutilisation/bruteforce d’identifiants faibles, commandes privilégiées (SNMP/SSH/HTTP), mises à jour de tables de routage, nettoyage/désactivation des logs, réversion de configs; exfiltration via connexions de peering, multiples canaux C2 masqués dans des zones à fort trafic (proxies, pools NAT), chiffrement (IPsec, GRE) pour dissimuler commandes et fuite de données.
L’article résume un avis de sécurité officiel visant à exposer les techniques des acteurs parrainés par la Chine et à fournir des orientations de mitigation aux opérateurs d’infrastructures critiques.
🔗 Source originale : https://securityaffairs.com/181650/intelligence/nsa-ncsc-and-allies-detailed-ttps-associated-with-chinese-apt-actors-targeting-critical-infrastructure-orgs.html