A kutatók egy kifinomult kiberkémkedési kampányra figyeltek fel, amelyet a kínai, államilag támogatott "Salt Typhoon", más néven "RedMike" nevű csoport vezetett.
2024 decemberétől 2025 januárjáig a csoport több mint 1000, frissítés nélküli Cisco hálózati eszközhöz fért hozzá világszerte, elsősorban távközlési szolgáltatókat és egyetemeket célozva.
Ez a kampány hangsúlyozza a kritikus infrastruktúrák folyamatos sebezhetőségét és a kiberháborúban részt vevő, állami hátterű szereplők által jelentett stratégiai hírszerzési fenyegetéseket.
Technikai kizsákmányolás
A Salt Typhoon két jogosultság kieterjesztéssel kapcsolatos sebezhetőséget használt ki a Cisco IOS XE szoftverben: CVE-2023-20198 és CVE-2023-20273
2023 októberében fedezték fel ezeket a sebezhetőségeket, melyek lehetővé tették a támadók számára, hogy hozzáférjenek az eszközökhöz a webes felhasználói felületen (UI) keresztül, és megemeljék a jogosultságokat rendszergazda szintű hozzáférésre.
Miután sikerült a rendszerbe behatolniuk, a támadók újrakonfigurálták az eszközöket, és GRE (Generic Routing Encapsulation) alagutakat hoztak létre, amelyek lehetővé tették a tartós hozzáférést és a titkos adatlopást.
A GRE alagútrendszert, amely a Cisco eszközök szabványos funkciója, kihasználták a tűzfalak és behatolás-észlelő rendszerek megkerülésére.
Célzott szervezetek
Az Insikt Group szerint a kampány elsősorban távközlési szolgáltatókat célozott, de több egyetemet is támadott több országban. A legfontosabb áldozatok közé tartoztak:
- Távközlési Szolgáltatók: egy Egyesült Államokban található brit távközlési cég leányvállalata, egy dél-afrikai távközlési vállalat és internetes szolgáltatók Olaszországban és Thaiföldön
- Egyetemek: intézmények Argentínában, Bangladesben, Indonéziában, Malajziában, Mexikóban, Hollandiában, Thaiföldön, Vietnámban és az Egyesült Államokban, köztük az UCLA és a TU Delft
Valószínűleg ezeket a célpontokat a távközlési, mérnöki és technológiai kutatásokban betöltött szerepük miatt választották ki.
A Cisco eszközök célzott használata
A célzott eszközök több mint fele az Egyesült Államokban, Dél-Amerikában és Indiában volt található.
A kutatók világszerte több mint 12 000 érintett Cisco eszközt azonosítottak, de megjegyezték, hogy a Salt Typhoon kampánya rendkívül szelektív volt, és mindössze ezeknek az eszközöknek körülbelül 8%-át célozta meg.
A decemberi hónapban a Mytel, a myanmari távközlési szolgáltató ellen is megfigyeltek felderítő tevékenységeket, ami szélesebb körű hálózati behatolásra irányuló törekvésekre utal.
A Salt Typhoon stratégiai céljai
A Salt Typhoon tevékenységei túlmutatnak a technikai kihasználáson, és stratégiai hírszerzési célokat is szolgálnak. A távközlési hálózatokhoz való tartós hozzáférés lehetővé teszi az állami támogatású szereplők számára, hogy:
- Nyomon követhessék a kommunikációt: valós idejű érzékeny beszélgetések lehallgatásával
- Szolgáltatásokat zavarhassanak meg: lehetőséget adva a politikai konfliktusok alatt történő szabotázsra
- Adatforgalmat manipulálhassanak: kritikus információkat módosítsanak hírszerzési vagy propaganda célokra
A csoport figyelme a jogszerű lehallgató rendszerekre és a magas rangú amerikai politikai szereplőkre azt jelzi, hogy céljuk a nemzetbiztonságra jelentett fenyegetés kihasználása.
Kockázatok és megelőző intézkedések
A fenyegetések elleni védekezés érdekében a szervezeteknek proaktív kiberbiztonsági intézkedéseket kell alkalmazniuk:
- Azonnal frissíteni kell az olyan sebezhetőségeket, mint a CVE-2023-20198 és a CVE-2023-20273.
- Korlátozni kell a webes felhasználói felületek hozzáférhetőségét a nyilvános eszközökön.
- Észlelni kell az illetéktelen konfigurációs változásokat vagy GRE alagút aktivitást.
- Érzékeny kommunikációk esetén használni kell az end-to-end titkosítást.
A CISA és az FBI kormányzati ügynökségek kiemelték a titkosított üzenetküldő alkalmazások fontosságát a lehallgatás kockázatainak mérséklésében.
Az Egyesült Államok Pénzügyminisztériuma nemrégiben szankcionálta a Sichuan Juxinhe Network Technology Co., Ltd. kínai vállalatot, amely kapcsolatban állt a Salt Typhoon tevékenységeivel.
Miközben ez egy határozott állásfoglalás a kormányzati kiberkémkedés ellen, a szakértők hangsúlyozzák, hogy a nemzetközi együttműködés elengedhetetlen a folyamatos fenyegetések hatékony leküzdéséhez.
A Salt Typhoon Cisco eszközökkel történő támadásai egyre inkább azt mutatják, hogy az állami szereplők a frissítés nélküli infrastruktúrát célozzák meg a kezdeti hozzáférés megszerzésére. Mivel az állami háttérrel rendelkező szereplők folyamatosan finomítják technikáikat, a szervezeteknek figyelmesnek kell lenniük a folyamatosan fejlődő kibertámadásokkal szemben.
Eredeti forrás: Cybersecurity News
