Les hackers de Salt Typhoon, un gang lié à la Chine, ont récemment piraté plus de réseaux de télécommunications et d’universités qu’on ne le pensait auparavant. L’université technique de Delft en a fait partie.
En octobre dernier, on apprenait que Salt Typhoon, également connu sous l’appellation RedMike, avait réussi à s’introduire chez neuf acteurs américains des télécommunications, dont AT&T, Lumen et Verizon, accédant à des données de communication et à la localisation des utilisateurs. Un rapport indique à présent qu’en plus de ces neuf entreprises, sept autres acteurs télécoms à travers le monde figurent parmi les victimes.
Selon Insikt Group, le département de recherche sur les menaces de la firme de cybersécurité Recorded Future (une filiale de Mastercard), Salt Typhoon a tenté d’abuser de plus de 1.000 réseaux Cisco entre décembre 2024 et janvier 2025. Au moins sept d’entre eux ont été piratés, parce qu’ils n’avaient pas été corrigés (patchés).
Deux failles ont en l’occurrence été abusées, à savoir CVE-2023-20198 et CVE-2023-20273, qui avaient été traitées par Cisco en 2023 déjà. L’entreprise avait averti à l’époque qu’elles étaient activement abusées.
Via la première faille, les hackers ont réussi à obtenir des privilèges dans l’interface utilisateur web de Cisco IOS XE, leur permettant de créer un compte utilisateur local. Avec ce dernier, ils ont ensuite pu exploiter la seconde faille pour obtenir un accès-racine, établissant ainsi un tunnel accédant au réseau télécom de la victime.
Opérateurs et universités
On avait précédemment appris que neuf opérateurs et réseaux gouvernementaux américains avaient été victimes du piratage. Insikt précise à présent que cela inclut également un acteur américain supplémentaire, un département américain d’un acteur télécom britannique en vue, un acteur télécom sud-africain, un grand opérateur thaïlandais et un fournisseur italien, sans citer de noms.
Dans le même temps, treize universités ont également été attaquées aux Etats-Unis, en Argentine, au Bangladesh, en Indonésie, en Malaisie, au Mexique, en Thaïlande, au Vietnam et aux Pays-Bas. Toutefois, Insikt parle explicitement d’attaques ‘ciblées’, ce qui suggèrerait qu’elles n’ont pas réussi.
Aucun nom n’est officiellement mentionné, mais la firme de cybersécurité a établi une liste d’universités qui effectuent spécifiquement des recherches dans les domaines des télécommunications, de l’ingénierie et de la technologie. Et de mentionner l’université technique néerlandaise de Delft (TU Delft) comme une cible probable.
Une carte tirée du rapport montre que des organisations ont été attaquées dans plus de 100 pays. En Belgique, des appareils ont également été ciblés par Salt Typhoon, bien que leur nombre soit très faible et que le rapport ne détaille pas plus avant les tentatives visant des organisations belges. Cela semble indiquer qu’aucun piratage réussi n’a eu lieu chez nous.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici