Chi?ska grupa hakerska Salt Typhoon, znana równie? jako RedMike, przeprowadza ataki na firmy telekomunikacyjne na ca?ym ?wiecie – ostrzegaj? eksperci ds. cyberbezpiecze?stwa z Insikt Group, dzia?aj?cej w ramach firmy Recorded Future. Wed?ug badaczy, cyberprzest?pcy wykorzystuj? nieza?atane luki w systemie operacyjnym Cisco IOS XE, co pozwala im przejmowa? kontrol? nad urz?dzeniami sieciowymi.
Ataki Salt Typhoon koncentruj? si? g?ównie na przedsi?biorstwach dzia?aj?cych w USA, Wielkiej Brytanii, RPA, W?oszech i Tajlandii. Ich celem jest utrzymanie d?ugotrwa?ego dost?pu do sieci ofiar, co stanowi powa?ne zagro?enie dla bezpiecze?stwa globalnych infrastruktur telekomunikacyjnych.
Przej?cie kontroli przez tunele GRE
Hakerzy uzyskuj? dost?p do sieci ofiar poprzez przej?cie kontroli nad podatnymi urz?dzeniami Cisco. Urz?dzenia te s? nast?pnie rekonfigurowane i komunikuj? si? za po?rednictwem tuneli GRE (Generic Routing Encapsulation) z serwerami kontrolowanymi przez Salt Typhoon. Taka metoda pozwala atakuj?cym na d?ugotrwa?e utrzymanie dost?pu do sieci bez wzbudzania podejrze? administratorów.
Eksperci podaj?, ?e tylko w okresie od grudnia 2024 r. do stycznia 2025 r. Salt Typhoon przeprowadzi?o ataki na ponad 1000 urz?dze? sieciowych Cisco. Ponad po?owa tych ataków mia?a miejsce w Stanach Zjednoczonych, Ameryce Po?udniowej i Indiach.
Tysi?ce podatnych urz?dze? czekaj?cych na atak
Skala zagro?enia jest jednak znacznie wi?ksza. Przeprowadzone skanowanie Internetu wykaza?o, ?e ponad 12 000 urz?dze? Cisco pozostaje podatnych na ataki, poniewa? nie zosta?y odpowiednio zabezpieczone.
Insikt Group podkre?la, ?e cho? atakuj?cy przej?li kontrol? nad tylko 8 procentami nara?onych routerów, to wskazuje to na ich selektywne podej?cie. Oznacza to, ?e Salt Typhoon przeprowadza dzia?ania rozpoznawcze i wybiera warto?ciowe cele zamiast atakowa? w sposób chaotyczny.
Te same luki wykorzystane ponownie
Szczególnie niepokoj?ce jest to, ?e te same luki bezpiecze?stwa zosta?y wykorzystane ju? dwa lata temu. W 2023 roku umo?liwi?y one naruszenie bezpiecze?stwa ponad 50 000 urz?dze? Cisco IOS XE. Sojusz wywiadowczy Five Eyes wymieni? te luki w?ród pi?ciu najcz??ciej wykorzystywanych podatno?ci w tamtym roku. Mimo up?ywu dwóch lat tysi?ce urz?dze? pozostaje nadal bez niezb?dnych aktualizacji.
Eksperci zwracaj? uwag?, ?e ponowne wykorzystanie tych samych luk ?wiadczy o braku odpowiednich reakcji ze strony u?ytkowników i administratorów sieci. Pomimo wcze?niejszych ostrze?e? wiele organizacji nie podj??o niezb?dnych kroków w celu zabezpieczenia swoich systemów.
Aktualizacje to konieczno??
Specjali?ci ds. cyberbezpiecze?stwa apeluj? o natychmiastowe zastosowanie dost?pnych aktualizacji zabezpiecze?. Podkre?laj? równie?, ?e profile u?ytkowników administracyjnych nie powinny by? bezpo?rednio ??czone z Internetem, aby ograniczy? ryzyko nieautoryzowanego dost?pu.
Ka?dy administrator sieci, który dot?d nie zaktualizowa? swoich systemów, powinien zrobi? to jak najszybciej. Salt Typhoon to wyrafinowana grupa hakerska, a ich dzia?ania stanowi? realne i powa?ne zagro?enie dla globalnej infrastruktury telekomunikacyjnej. Opó?nianie aktualizacji to zaproszenie do kolejnego cyberataku.
