En bref: Des pirates informatiques soutenus par l’État chinois utiliseraient des routeurs grand public non corrigés et des périphériques de stockage en réseau (NAS) pour accéder à l’infrastructure des principales entreprises de télécommunications. Le trafic sur ces systèmes est ensuite capturé et envoyé aux serveurs chinois. Les agences américaines qui ont lancé l’alerte n’ont nommé aucune victime.
Selon un nouvelle alertedes pirates informatiques parrainés par l’État chinois exploitent des vulnérabilités de sécurité connues dans des périphériques réseau non corrigés pour établir un vaste réseau d’infrastructures compromises.
L’avis conjoint a été publié par la Cybersecurity and Infrastructure Security Agency (CISA), la NSA et le FBI.
Certains des appareils concernés incluent des routeurs grand public fabriqués par Cisco, D-Link et Netgear et des appareils NAS fabriqués par QNAP. Ceux-ci servent de points d’accès pour acheminer le trafic de commande et de contrôle (C2) et agissent comme points intermédiaires pour compromettre d’autres entités, telles que les entreprises de télécommunications et les fournisseurs de services réseau.
Après avoir infiltré ces réseaux de télécommunications, les cybercriminels exécutent des commandes de routeur pour acheminer, capturer et exfiltrer le trafic vers leurs propres serveurs. Dans le même temps, ils surveillent les comptes et les actions des défenseurs du réseau et modifient leurs attaques en cours pour ne pas être détectés.
Les cyberacteurs utiliseraient des outils open source, comme RouterScan et RouterSploit, pour rechercher les vulnérabilités. Ils mènent leurs intrusions via des serveurs compromis appelés points de saut, qui ont généralement des adresses IP basées en Chine qui se résolvent vers différents FAI chinois.
Les agences affirment que les pirates louent un accès à distance aux serveurs directement ou indirectement auprès des fournisseurs d’hébergement, puis les utilisent pour enregistrer et accéder à des comptes de messagerie opérationnels, héberger des domaines C2 et interagir avec les réseaux des victimes. Les points de saut sont également utilisés comme technique d’obscurcissement.
Par ailleurs, le FBI a publié le mois dernier une alerte avertissant les universités américaines que leurs identifiants VPN sont vendus sur des forums de cybercriminels russes.