Un avis conjoint publié par l’Australie, le Canada, la Nouvelle-Zélande et les États-Unis a mis en garde contre une vaste campagne de cyberespionnage entreprise par des acteurs menaçants affiliés à la République populaire de Chine (RPC) ciblant les fournisseurs de télécommunications.
“Les exploitations ou compromissions identifiées associées à l’activité de ces acteurs malveillants correspondent aux faiblesses existantes associées à l’infrastructure des victimes ; aucune nouvelle activité n’a été observée”, ont déclaré les agences gouvernementales. dit.
responsables américains dit Mardi, les auteurs de la menace se cachent toujours dans les réseaux de télécommunications américains environ six mois après le début d’une enquête sur les intrusions.
Les attaques ont été attribuées à un groupe d’États-nations chinois identifié sous le nom de Salt Typhoon, qui chevauche des activités répertoriées sous les noms d’Earth Estries, FamousSparrow, GhostEmperor et UNC2286. Le groupe est connu pour être actif depuis au moins 2020, certains des artefacts étant développés dès 2019.
La semaine dernière, T-Mobile a reconnu avoir détecté des tentatives d’infiltration de ses systèmes par des acteurs malveillants, mais a noté qu’aucune donnée client n’avait été consultée.
La nouvelle de la campagne d’attaque a été annoncée pour la première fois fin septembre, lorsque le Wall Street Journal a rapporté que l’équipe de hackers avait infiltré un certain nombre d’entreprises de télécommunications américaines dans le cadre d’efforts visant à glaner des informations sensibles. La Chine a rejeté ces allégations.
Pour contrer les attaques, les agences de cybersécurité et de renseignement ont publié des conseils sur les meilleures pratiques qui peuvent être adaptées pour renforcer les réseaux d’entreprise –
- Examinez et étudiez toute modification de configuration ou altération des périphériques réseau tels que les commutateurs, les routeurs et les pare-feu
- Mettre en œuvre une solution solide de surveillance des flux réseau et une capacité de gestion de réseau
- Limiter l’exposition du trafic de gestion à Internet
- Surveiller les connexions des utilisateurs et des comptes de service pour détecter les anomalies
- Mettre en œuvre une journalisation sécurisée et centralisée avec la possibilité d’analyser et de corréler de grandes quantités de données provenant de différentes sources
- Veiller à ce que la gestion des appareils soit physiquement isolée des réseaux client et de production.
- Appliquer une stratégie ACL stricte et de refus par défaut pour contrôler le trafic entrant et sortant
- Utiliser une forte segmentation du réseau via l’utilisation de listes de contrôle d’accès de routeur, d’inspection dynamique des paquets, de capacités de pare-feu et de constructions de zones démilitarisées (DMZ).
- Sécurisez les passerelles de réseau privé virtuel (VPN) en limitant l’exposition externe
- Assurez-vous que le trafic est chiffré de bout en bout dans la mesure du possible et que Transport Layer Security (TLS) v1.3 est utilisé sur tous les protocoles compatibles TLS pour sécuriser les données en transit sur un réseau.
- Désactivez tous les protocoles de découverte inutiles, tels que Cisco Discovery Protocol (CDP) ou Link Layer Discovery Protocol (LLDP), ainsi que d’autres services exploitables comme Telnet, File Transfer Protocol (FTP), Trivial FTP (TFTP), SSH v1, Hypertext Transfer. Serveurs de protocole (HTTP) et SNMP v1/v2c
- Désactiver le routage source du protocole Internet (IP)
- Assurez-vous qu’aucun mot de passe par défaut n’est utilisé
- Confirmez l’intégrité de l’image logicielle utilisée à l’aide d’un utilitaire de calcul de hachage fiable, si disponible
- Effectuer une analyse des ports et une analyse de l’infrastructure Internet connue pour garantir qu’aucun service supplémentaire n’est accessible sur le réseau ou depuis Internet.
- Surveillez les annonces de fin de vie (EOL) des fournisseurs pour les périphériques matériels, les versions du système d’exploitation et les logiciels, et effectuez la mise à niveau dès que possible.
- Stockez les mots de passe avec des algorithmes de hachage sécurisés
- Exiger une authentification multifacteur (MFA) résistante au phishing pour tous les comptes qui accèdent aux systèmes de l’entreprise
- Limitez la durée des jetons de session et demandez aux utilisateurs de se réauthentifier à l’expiration de la session.
- Mettez en œuvre une stratégie de contrôle d’accès basé sur les rôles (RBAC), supprimez tous les comptes inutiles et examinez périodiquement les comptes pour vérifier qu’ils continuent d’être nécessaires.
“L’application de correctifs aux appareils et services vulnérables, ainsi que la sécurisation générale des environnements, réduiront les opportunités d’intrusion et atténueront l’activité des acteurs”, selon l’alerte.
Cette évolution intervient dans un contexte d’escalade des tensions commerciales entre la Chine et les États-Unis, avec Pékin. interdire les exportations de minerais critiques, le gallium, le germanium et l’antimoine, vers l’Amérique en réponse à la répression menée par cette dernière contre l’industrie chinoise des semi-conducteurs,
Plus tôt cette semaine, le ministère américain du Commerce annoncé de nouvelles restrictions visant à limiter la capacité de la Chine à produire des semi-conducteurs à nœuds avancés pouvant être utilisés dans des applications militaires, en plus de freiner les exportations vers 140 entités.
Alors que les entreprises chinoises de puces ont depuis promis pour localiser les chaînes d’approvisionnement, les associations industrielles du pays ont averti entreprises nationales que les puces américaines ne sont « plus sûres ».