Istraživači su uočili sofisticiranu kampanju sajber-špijunaže koju je vodila kineska državna grupa, poznata kao “Salt Typhoon”, koja se također naziva “RedMike”.
Između decembra 2024. i januara 2025., grupa je eksploatisala preko 1.000 nepovezanih Cisco mrežnih uređaja širom sveta, ciljajući na telekomunikacione provajdere i univerzitete.
Kampanja naglašava stalnu ranjivost kritične infrastrukture i strateške obavještajne prijetnje koje predstavljaju hakeri koje podržava država.
Pregled tehničke eksploatacije
Salt Typhoon je iskoristio dvije ranjivosti eskalacije privilegija u softveru Cisco IOS XE: CVE-2023-20198 i CVE-2023-20273.
Ove ranjivosti, otkrivene u oktobru 2023., omogućile su napadačima da dobiju početni pristup preko web korisničkog interfejsa (UI) i eskaliraju privilegije na pristup na root nivou.
Jednom kompromitovani, napadači su rekonfigurisali uređaje da uspostave tunele generičke inkapsulacije rutiranja (GRE), omogućavajući uporan pristup i tajnu eksfiltraciju podataka.
Protokol GRE tuneliranja, standardna karakteristika u Cisco uređajima, korišten je da se zaobiđu zaštitni zidovi i sistemi za otkrivanje upada.
Ovo je omogućilo Salt Typhoonu da održava skrivene komunikacijske kanale između kompromitovanih uređaja i njihove infrastrukture za komandu i kontrolu.
Ciljane organizacije
Insikt Grupa je navela da je kampanja prvenstveno ciljala na telekomunikacione provajdere, ali da se proširila na univerzitete u više zemalja. Ključne žrtve su:
Telekomunikacijski provajderi: podružnica sa sjedištem u SAD-u jednog britanskog telekom provajdera, južnoafričke telekomunikacijske kompanije i ISP-a u Italiji i Tajlandu.
Univerziteti: institucije u Argentini, Bangladešu, Indoneziji, Maleziji, Meksiku, Holandiji, Tajlandu, Vijetnamu i SAD, uključujući UCLA i TU Delft.
Ovi ciljevi su vjerovatno odabrani zbog njihove povezanosti s najnovijim istraživanjima u telekomunikacijama, inženjerstvu i tehnologiji.
Više od polovine ciljanih uređaja nalazilo se u SAD-u, Južnoj Americi i Indiji.
Istraživači su identifikovali preko 12.000 izloženih Cisco uređaja širom svijeta, ali su primijetili da je kampanja Salt Typhoona bila vrlo selektivna, fokusirajući se na otprilike 8% ovih uređaja.
Izviđačke aktivnosti su također primijećene protiv telekom provajdera Mytel sa sjedištem u Mijanmaru u decembru 2024. Ova skeniranja ukazuju na šire ambicije da se infiltriraju u regionalne mreže u svrhu špijunaže.
Aktivnosti Salt Typhoona protežu se dalje od tehničke eksploatacije do strateških obavještajnih ciljeva. Stalni pristup telekomunikacionim mrežama omogućava hakerima koje podržava država da:
- Monitor komunikacije: presretanje osjetljivih razgovora u realnom vremenu.
- Disrupt Services: Potencijalna sabotaža tokom geopolitičkih sukoba.
- Manipulisanje tokovima podataka: Izmjena kritičnih informacija u obavještajne ili propagandne svrhe.
Fokus grupe na zakonite sisteme presretanja i istaknute američke političke ličnosti naglašava njenu namjeru da iskoristi ranjivosti za prijetnje nacionalnoj sigurnosti.
Mjere ublažavanja
Da bi se suprotstavile takvim prijetnjama, organizacije moraju usvojiti proaktivne mjere sajber sigurnosti:
- Odmah primijenite ažuriranja za ranjivosti kao što su CVE-2023-20198 i CVE-2023-20273.
- Ograničite izlaganje web korisničkih interface-a na javnim uređajima.
- Otkrivanje neovlaštenih promjena konfiguracije ili aktivnosti GRE tunela.
- Koristite end-to-end enkripciju za osjetljivu komunikaciju.
Vladine agencije poput CISA-e i FBI-a naglasile su važnost šifrovanih aplikacija za razmjenu poruka za ublažavanje rizika od prisluškivanja.
Ministarstvo finansija SAD-a nedavno je sankcionisalo Sichuan Juxinhe Network Technology Co., Ltd., kineskog izvođača koji je povezan sa aktivnostima Salt Typhoona.
Iako ovo označava snažan stav protiv sajber špijunaže koju sponzoriše država, stručnjaci naglašavaju da je međunarodna saradnja ključna za efikasnu borbu protiv takvih upornih prijetnji.
Izvor: CyberSecurityNews
