Selon un récent rapport du Wall Street Journal, un groupe de piratage chinois, identifié sous le nom de Salt Typhoon, aurait piraté plusieurs fournisseurs de haut débit américains, dont AT&T et Verizon. La violation, qui aurait eu lieu il y a plusieurs mois, visait une infrastructure réseau sensible utilisée par le gouvernement fédéral américain pour des opérations d'écoute électronique légales.
Le principal motif de cette attaque informatique semble être la collecte de renseignements.
La cyberattaque aurait ciblé les systèmes utilisés pour les opérations de surveillance légales aux États-Unis, les pirates ayant potentiellement accès à des canaux de communication sensibles. Le Wall Street Journal a noté que ces intrusions auraient pu permettre à Salt Typhoon de collecter des données de trafic Internet auprès de divers utilisateurs, notamment des particuliers et des entreprises. La date exacte de la violation reste floue, mais certaines sources suggèrent que le groupe pourrait avoir maintenu l'accès à ces réseaux pendant plusieurs mois, voire plus.
AT&T et Verizon auraient été piratés
Les agences gouvernementales américaines et les experts en cybersécurité enquêtent activement sur cette violation afin d'évaluer son impact sur la sécurité nationale. L’ampleur de l’exfiltration de données est encore en cours d’évaluation. Selon le Wall Street Journal, l'enquête inclut des experts des secteurs public et privé qui tentent de déterminer la nature et l'étendue des données compromises lors de l'attaque.
Salt Typhoon, également connu sous d'autres noms comme Earth Estries, Ghost Emperor et FamousSparrow, a l'habitude de cibler les entités gouvernementales et les fournisseurs de télécommunications, en particulier en Asie du Sud-Est. Les activités du groupe se sont désormais étendues pour inclure des sociétés américaines comme AT&T et Verizon, suscitant des inquiétudes quant à la sécurité des réseaux de communication utilisés pour les opérations officielles du gouvernement.
Salt Typhoon est actif depuis au moins 2019, selon Microsoft, qui suit de près les mouvements du groupe. D'autres sociétés de cybersécurité ont identifié des schémas similaires d'attaques liées au groupe. Auparavant, Salt Typhoon ciblait des institutions dans des pays comme le Brésil, le Canada, la France et l'Afrique du Sud, en utilisant des outils et des méthodes sophistiqués pour exploiter les vulnérabilités de leurs réseaux.
Les experts estiment que Salt Typhoon obtient un premier accès aux réseaux cibles en exploitant des failles de sécurité connues, telles que les vulnérabilités trouvées dans les serveurs Microsoft Exchange. Lors d’opérations passées, le groupe a utilisé des portes dérobées personnalisées et des outils de piratage comme SparrowDoor pour maintenir un pied dans les systèmes compromis.
Le rôle de Cisco dans le problème AT&T et Verizon
Alors que l'enquête se poursuit, l'attention s'est tournée vers le rôle possible de l'équipement réseau de Cisco dans la brèche. Les enquêteurs cherchent à savoir si les pirates ont utilisé les vulnérabilités des routeurs Cisco pour accéder à des canaux de communication sensibles. Un porte-parole de Cisco a déclaré que même si l'entreprise examinait la situation, il n'existait actuellement aucune preuve reliant son équipement à l'attaque.
La violation d'AT&T et de Verizon a des implications considérables, car ces sociétés traitent de grandes quantités de données pour des clients gouvernementaux et du secteur privé. Cet incident met en évidence la menace croissante de cyberespionnage par des acteurs parrainés par l’État, en particulier ceux ciblant les infrastructures critiques aux États-Unis.
