Hackerii chinezi au reușit să intre în mai multe rețele de telecomunicații din SUA prin intermediul routerelor Cisco neactualizate.
Grupul de hackeri Salt Typhoon din China continuă să vizeze activ furnizorii de telecomunicații din întreaga lume și au pătruns în mai mulți furnizori de telecomunicații din SUA folosind dispozitive de rețea Cisco IOS XE neactualizate.
Divizia de cercetare a amenințărilor Insikt Group de la Recorded Future afirmă că grupul de hackeri chinezi (urmărit sub numele de Salt Typhoon și RedMike) a exploatat vulnerabilitățile de escaladare a privilegiilor CVE-2023-20198 și injectare de comenzi în interfața web CVE-2023-20273.
Aceste atacuri în desfășurare au dus deja la încălcări ale rețelelor la mai mulți furnizori de telecomunicații, inclusiv un ISP din SUA, o filială cu sediul în SUA a unui furnizor de telecomunicații din Marea Britanie, un furnizor de telecomunicații din Africa de Sud, un ISP italian și un mare furnizor de telecomunicații din Thailanda.
Cercetătorii în materie de securitate au observat dispozitive Cisco compromise și reconfigurate în rețelele lor, comunicând cu servere controlate de Salt Typhoon prin tunele de encapsulare a rutării generice (GRE) pentru acces persistent.
Între decembrie 2024 și ianuarie 2025, Salt Typhoon a vizat peste 1.000 de dispozitive de rețea Cisco, mai mult de jumătate provenind din SUA, America de Sud și India.
„Utilizând date de scanare a internetului, Insikt Group a identificat peste 12.000 de dispozitive de rețea Cisco cu interfețe web expuse pe internet,” a declarat Insikt Group.
„Deși au fost vizate peste 1.000 de dispozitive Cisco, Insikt Group estimează că această activitate a fost probabil concentrată, având în vedere că acest număr reprezintă doar 8% din dispozitivele expuse și că RedMike a desfășurat activități periodice de recunoaștere, selectând dispozitive legate de furnizorii de telecomunicații.”
Acum doi ani, cele două vulnerabilități au fost exploatate în atacuri zero-day care au compromis peste 50.000 de dispozitive Cisco IOS XE, permițând implementarea de malware backdoor prin conturi privilegiate false. Conform unei avertizări din noiembrie emisă de Five Eyes, aceste deficiențe de securitate au fost printre cele patru cele mai frecvent exploatate în 2023.
Grupul Insikt recomandă administratorilor de rețea care operează dispozitive de rețea Cisco IOS XE cu expunere pe internet să aplice cât mai curând posibil patch-urile de securitate disponibile și să evite expunerea interfețelor de administrare sau a serviciilor non-esențiale direct pe internet.
Aceste încălcări fac parte dintr-o campanie mai amplă confirmată de FBI și CISA în octombrie. În aceste atacuri, hackerii de stat chinezi au pătruns în mai mulți operatori de telecomunicații din SUA (inclusiv AT&T, Verizon, Lumen, Charter Communications, Consolidated Communications și Windstream) și companii de telecomunicații din zeci de alte țări.
În timp ce aveau acces la rețelele de telecomunicații din SUA, aceștia au compromis „comunicațiile private” ale unui „număr limitat” de oficiali guvernamentali americani și au accesat platforma de interceptare a convorbirilor telefonice a agențiilor de aplicare a legii din SUA.
Grupul chinez de spionaj cibernetic Salt Typhoon (urmărit și sub numele de FamousSparrow, Ghost Emperor, Earth Estries și UNC2286) a fost implicat în încălcarea companiilor de telecomunicații și a entităților guvernamentale încă din 2019.
Hackerii chinezi au pătruns și în rețelele Charter și Windstream
Casa Albă leagă al nouălea atac asupra telecomunicațiilor de hackerii chinezi
CISA îndeamnă la trecerea la aplicații de mesagerie criptate similare cu Signal după atacurile asupra telecomunicațiilor
FCC ordonă operatorilor de telecomunicații să-și securizeze rețelele după atacurile Salt Typhoon
AT&T și Verizon spun că rețelele lor sunt securizate după încălcarea Salt Typhoon
Leave a Reply