A kutatók egy kifinomult kiberkémkedési kampányra figyeltek fel, amelyet a kínai államilag támogatott "Salt Typhoon", más néven "RedMike" nevű csoport vezetett.
2024 decemberétől 2025 januárjáig a csoport több mint 1000, nem frissített Cisco hálózati eszközt használt ki világszerte, elsősorban távközlési szolgáltatókat és egyetemeket célozva.
Ez a kampány hangsúlyozza a kritikus infrastruktúrák folyamatos sebezhetőségét és a kiberháborúban részt vevő, állami hátterű szereplők által jelentett stratégiai hírszerzési fenyegetéseket.
Technikai kizsákmányolás
A Salt Typhoon két jogosultság kieterjesztéssel kapcsolatos sebezhetőséget használt ki a Cisco IOS XE szoftverben: CVE-2023-20198 és CVE-2023-20273
2023 októberében fedezték fel ezeket a sebezhetőségeket, melyek lehetővé tették a támadók számára, hogy hozzáférjenek az eszközökhöz a webes felhasználói felületen (UI) keresztül, és megemeljék a jogosultságokat rendszergazda szintű hozzáférésre.
Miután sikerült a rendszerbe behatolniuk, a támadók újrakonfigurálták az eszközöket, és GRE (Generic Routing Encapsulation) alagutakat hoztak létre, amelyek lehetővé tették a tartós hozzáférést és a titkos adatlopást.
A GRE alagútrendszert, amely a Cisco eszközök szabványos funkciója, kihasználták a tűzfalak és behatolás-észlelő rendszerek megkerülésére.
Célzott Szervezetek
Az Insikt Group szerint a kampány elsősorban távközlési szolgáltatókat célozott, de több egyetemet is támadott több országban. A legfontosabb áldozatok közé tartoztak:
- Távközlési Szolgáltatók: Egy Egyesült Államokban található brit távközlési cég leányvállalata, egy dél-afrikai távközlési vállalat és internetes szolgáltatók Olaszországban és Thaiföldön.
- Egyetemek: Intézmények Argentínában, Bangladesben, Indonéziában, Malajziában, Mexikóban, Hollandiában, Thaiföldön, Vietnámban és az Egyesült Államokban, köztük az UCLA és a TU Delft.
Valószínűleg ezeket a célpontokat a távközlési, mérnöki és technológiai kutatásokban betöltött szerepük miatt választották ki.
A Cisco Eszközök Célzott Használata
A célzott eszközök több mint fele az Egyesült Államokban, Dél-Amerikában és Indiában volt található.
A kutatók világszerte több mint 12 000 érintett Cisco eszközt azonosítottak, de megjegyezték, hogy a Salt Typhoon kampánya rendkívül szelektív volt, és mindössze ezeknek az eszközöknek körülbelül 8%-át célozta meg.
A decemberi hónapban a Mytel, a myanmari távközlési szolgáltató ellen is megfigyeltek felderítő tevékenységeket, ami szélesebb körű hálózati behatolásra irányuló törekvésekre utal.
A Salt Typhoon Stratégiai Céljai
A Salt Typhoon tevékenységei túlmutatnak a technikai kihasználáson, és stratégiai hírszerzési célokat is szolgálnak. A távközlési hálózatokhoz való tartós hozzáférés lehetővé teszi az állami támogatású szereplők számára, hogy:
- Nyomon követhessék a kommunikációt: valós idejű érzékeny beszélgetések lehallgatásával
- Szolgáltatásokat Megzavarthassanak: Lehetőség a politikai konfliktusok alatt történő szabotázsra.
- Adatforgalmat Manipulálhassanak: Kritikus információk módosítása hírszerzési vagy propagandacélokra.
A csoport figyelme a jogszerű lehallgató rendszerekre és a magas rangú amerikai politikai szereplőkre azt jelzi, hogy céljuk a nemzetbiztonságra jelentett fenyegetés kihasználása.
Kockázatok és Megelőző Intézkedések
A fenyegetések elleni védekezés érdekében a szervezeteknek proaktív kiberbiztonsági intézkedéseket kell alkalmazniuk:
- Azonnal frissíteni kell az olyan sebezhetőségeket, mint a CVE-2023-20198 és a CVE-2023-20273.
- Korlátozni kell a webes felhasználói felületek hozzáférhetőségét a nyilvános eszközökön.
- Fel kell fedezni az illetéktelen konfigurációs változásokat vagy GRE alagút aktivitást.
- Érzékeny kommunikációk esetén használni kell az end-to-end titkosítást.
A CISA és az FBI kormányzati ügynökségek kiemelték az encrypted üzenetküldő alkalmazások fontosságát a lehallgatás kockázatainak mérséklésében.
Az Egyesült Államok Pénzügyminisztériuma nemrégiben szankcionálta a Sichuan Juxinhe Network Technology Co., Ltd.-t, egy kínai vállalatot, amely kapcsolatban állt a Salt Typhoon tevékenységeivel.
Miközben ez egy erős állásfoglalás a kormányzati kiberkémkedés ellen, a szakértők hangsúlyozzák, hogy a nemzetközi együttműködés elengedhetetlen a folyamatos fenyegetések hatékony leküzdéséhez.
A Salt Typhoon Cisco eszközökkel történő támadásai egyre inkább azt mutatják, hogy az állami szereplők a frissítés nélküli infrastruktúrát célozzák meg a kezdeti hozzáférés megszerzésére. Mivel az állami háttérrel rendelkező szereplők folyamatosan finomítják technikáikat, a szervezeteknek figyelmesnek kell lenniük a folyamatosan fejlődő kibertámadásokkal szemben.
Eredeti forrás: Cybersecurity News
