Campagne sur les typhons salés : une menace omniprésente
La campagne Salt Typhoon a été attribuée à des pirates informatiques sponsorisés par l’État chinois, qui ont mené l’une des plus importantes attaques de renseignements de l’histoire des États-Unis. Au moins huit grandes entreprises de télécommunications américaines, dont Verizon, AT&T, T-Mobile et Lumen, ont été infiltrées. Cette intrusion a permis aux attaquants de recueillir des métadonnées sensibles telles que des enregistrements d’appels, mettant potentiellement en danger les communications privées de millions de personnes.
L’ampleur et l’impact de cette campagne soulignent son importance en tant que menace pour la sécurité nationale. En obtenant un accès permanent aux réseaux de télécommunications américains depuis 2022, les attaquants ont réussi à se positionner stratégiquement pour intercepter des données cruciales, posant ainsi un défi à long terme pour la sécurité des infrastructures américaines.
Exploitation de la vulnérabilité du pare-feu Zyxel
Une autre préoccupation majeure en matière de cybersécurité est l’identification d’une vulnérabilité de traversée de répertoire, CVE-2024-11667, dans le micrologiciel du pare-feu Zyxel ZLD. Cette faiblesse est actuellement exploitée par les cybercriminels pour déployer le ransomware Helldown, qui peut avoir de graves conséquences, notamment l’accès non autorisé et le vol d’identifiants.
Les pirates informatiques qui exploitent cette vulnérabilité peuvent manipuler les chemins d'accès aux fichiers, ce qui leur permet de télécharger ou de charger des fichiers de manière illicite. Ils peuvent ainsi créer des connexions VPN par porte dérobée, ce qui représente un risque grave pour les systèmes affectés. Il est essentiel que les organisations utilisant des pare-feu Zyxel soient conscientes de cette vulnérabilité et prennent des mesures immédiates pour sécuriser leurs réseaux.
Développements en matière d'atténuation et de ransomware
En réponse, la Cybersecurity and Infrastructure Security Agency (CISA) a réagi rapidement en ajoutant la vulnérabilité CVE-2024-11667 à son catalogue de vulnérabilités connues. La CISA recommande vivement de corriger cette vulnérabilité d'ici le 24 décembre 2024 afin d'éviter toute nouvelle exploitation. Zyxel a émis un avis de sécurité recommandant une mise à niveau vers la dernière version de son micrologiciel de pare-feu ZLD.
Outre les vulnérabilités, les attaques de ransomware ont notamment touché de grandes organisations telles que PIH Health dans le sud de la Californie et BT Group. Ces attaques ont provoqué d’importantes perturbations de service, entraînant des arrêts de réseau et un besoin urgent de mesures de cybersécurité renforcées dans les secteurs de la santé et des télécommunications.
Arrestations et alertes générales en matière de cybersécurité
Les forces de l’ordre ont fait des progrès dans la lutte contre la cybercriminalité, comme en témoigne l’arrestation d’un pirate informatique de 19 ans associé au groupe Scattered Spider. Cette arrestation met en lumière le problème omniprésent des opérations de phishing, qui ont réussi à compromettre plusieurs sociétés de télécommunications et une banque nationale, entraînant le vol de données et des activités illicites ultérieures sur le Dark Web.
Enfin, la CISA continue de mettre à jour son catalogue avec de nouvelles vulnérabilités, exhortant les parties prenantes à rester vigilantes et à appliquer les mises à jour et correctifs en temps opportun. Les ajouts récents incluent des vulnérabilités affectant les pare-feu ProjectSend, CyberPanel et Zyxel, soulignant l'importance cruciale de maintenir des pratiques de sécurité robustes pour contrecarrer les cybermenaces potentielles.