Skip to content
Rejoignez Censys le 10 septembre 2024 pour notre atelier sur la chasse aux menaces à San Francisco, CA | Inscrivez-vous maintenant
Blogs

L'empreinte Internet des appareils SOHO exploitée par le typhon Volt

Partager

25 mai 2023
Tags :

Introduction

Le 24 mai 2023, Microsoft a annoncé la découverte d'une "activité malveillante furtive et ciblée" visant les infrastructures de communication essentielles des États-Unis et de Guam. Les attaques sont attribuées à un acteur parrainé par l'État chinois, surnommé Volt Typhoon, actif depuis le milieu de l'année 2021.

L'une des principales techniques de Volt Typhoon consiste à vivre sur le terrain, c'est-à-dire à exploiter les outils et les services qui existent déjà dans l'environnement compromis. Cela leur permet de déjouer plus efficacement la détection et d'augmenter leur temps de présence dans l'environnement.

Volt Typhoon s'appuie sur des équipements de réseau de petites entreprises et de bureaux à domicile (SOHO) compromis, tels que des routeurs, pour acheminer par proxy le trafic d'attaque vers ses cibles. Toujours dans le but d'éviter d'être détecté, l'acheminement du trafic par proxy via ces équipements résidentiels et de petites entreprises leur permet de se fondre plus facilement dans l'activité typique du réseau. Notamment, les dispositifs affectés observés semblent avoir SSH ou HTTP ouvert à l'internet.

Microsoft et un avis conjoint de cybersécurité de la NSA et d'autres organismes ont détaillé les appareils SOHO qu'ils ont observés impliqués dans ces attaques, notamment ceux fabriqués par Cisco, Draytek, FatPipe, Netgear Prosafe et Zyxel. Nous examinons ci-dessous la présence sur l'internet de ces appareils qui ont également une connexion HTTP ou SSH ouverte à l'internet.

Exposition des appareils SOHO

Au total, nous avons observé 510 384 hôtes (1 113 901 services) utilisant l'un de ces routeurs SOHO avec le port de gestion HTTP ou le service SSH en cours d'exécution.

Hôtes Draytek
Royaume-Uni 190,369
Vietnam 65,616
Pays-Bas 47,666
Australie 21,172
Italie 16,521
Taïwan 15,292
France 12,575
Pologne 10,459
Allemagne 8,917
Portugal 7,792
Hôtes Zyxel
Italie 6,656
France 4,323
Suisse 2,477
États-Unis 2,108
Allemagne 1,049
Espagne 919
Taïwan 674
Corée du Sud 649
Pays-Bas 504
Autriche 478
Cisco RV
États-Unis 3,305
Canada 1,264
Brésil 987
Inde 976
Pologne 969
Argentine 888
Thaïlande 624
Mexique 394
Chine 384
Colombie 294
Netgear Prosafe
États-Unis 2,072
Japon 960
Corée du Sud 147
Suède 80
Allemagne 20
Canada 16
Hong Kong 12
Royaume-Uni 7
Finlande 7
Italie 7
FatPipe
États-Unis 839
Inde 122
Mexique 18
Chine 16
Philippines 13
Nigéria 9
Royaume-Uni 5
Hong Kong 4
Jamaïque 2
Allemagne 1

 

Conclusion

Avec plus d'un demi-million d'appareils de réseau pour petites entreprises ou bureaux à domicile exposant HTTP ou SSH à l'internet, les acteurs de la menace tels que Volt Typhoon ont de nombreuses possibilités d'exploitation potentielle de ces appareils à des fins malveillantes.

Si vous utilisez un appareil SOHO, assurez-vous que la connexion et les contrôles administratifs ne sont pas accessibles depuis l'internet public. Consultez le site me.censys.io pour voir si votre routeur expose des services inattendus à l'internet public.

Retour au centre de ressources
Solutions de gestion de la surface d'attaque
En savoir plus