Kinijos druskos taifūnų įsilaužėliai vis dar aktyviai nukreipia telekomunikacijas visame pasaulyje ir pažeidė daugiau JAV telekomunikacijų tiekėjų per nepaliestus „Cisco IOS XE“ tinklo įrenginius.
Įrašytas „Future“ „Insikt“ grupės grėsmės tyrimų skyriuje teigiama, kad Kinijos įsilaužimo grupė (sekti druskos taifūną ir „Redmike“) išnaudojo CVE-20123-20198 privilegijų eskalaciją ir CVE-2023-20273 žiniatinklio UI komandos injekcijos pažeidžiamumą.
Šie vykstantys išpuoliai jau lėmė tinklo pažeidimus keliuose telekomunikacijų tiekėjuose, įskaitant JAV interneto paslaugų teikėją (IPT), JK telekomunikacijų teikėjo, Pietų Afrikos telekomunikacijų teikėjo, ITSP IPT ir didelių Tailando telekomunikacijų teikėjo dukterinę įmonę ir didelių Tailando telekomunikacijų teikėjas.
Grėsmės tyrėjai teigė, kad savo tinkluose pastebėjo kompromisus ir pertvarkė „Cisco“ prietaisus, bendraudami su druskos taifūnų kontroliuojamais serveriais, naudodamiesi generinio maršruto kapsulės (GRE) tuneliais, kad būtų galima nuolat pasiekti.
Nuo 2024 m. Gruodžio mėn. Iki 2025 m. Sausio mėn. „Salt Typhoon“ nukreipė daugiau nei 1000 „Cisco“ tinklo įrenginių, daugiau nei pusę iš JAV, Pietų Amerikos ir Indijos.
„Naudodama interneto nuskaitymo duomenis,„ InsIKT Group “nustatė daugiau nei 12 000„ Cisco “tinklo įrenginių, kurių internetas veikė internete“, – teigė „Insikt Group“.
„Nors buvo nukreipta daugiau nei 1000„ Cisco “prietaisų,„ InsIKT Group “įvertina, kad ši veikla greičiausiai buvo sutelkta, atsižvelgiant į tai, kad šis skaičius sudaro tik 8% paveiktų prietaisų ir kad„ Redmike “užsiėmė periodine žvalgybos veikla, pasirinkus prietaisus, susijusius su telekomunikacijų teikėjais.”
Prieš dvejus metus du pažeidžiamumai buvo išnaudoti nulinės dienos išpuoliuose, kuriuose buvo pakenkta daugiau nei 50 000 „Cisco IOS XE“ įrenginių, leidžiančių diegti kenkėjišką programą už „Rogue“ privilegijuotų sąskaitų. Remiantis lapkričio mėn. Patarimu iš „Five Eyes“, šie saugumo trūkumai buvo vieni iš keturių geriausių dažniausiai išnaudojamų 2023 m.
„INISKT Group“ pataria tinklo administratoriams, veikiantiems internete veikiamiems „Cisco IOS XE“ tinklo įrenginiams, kad jie kuo greičiau pritaikytų galimus saugos pataisas ir vengtų administravimo sąsajų ar neesminių paslaugų tiesiogiai tiesiogiai į internetą.
Šie pažeidimai yra platesnės kampanijos, kurią spalį patvirtino FTB ir CISA, dalis. Šiose išpuoliuose Kinijos valstybiniai įsilaužėliai pažeidė kelis JAV telekomunikacijų vežėjus (įskaitant AT&T, „Verizon“, „Lumen“, „Charter Communications“, „Conslidated Communications“ ir „Windstream“) ir dešimtys kitų šalių telekomunikacijų bendrovių.
Nors jie turėjo prieigą prie JAV telekomunikacijų tinklų, jie pakenkė „riboto skaičiaus“ JAV vyriausybės pareigūnų „privatiems ryšiams“ ir pateko į JAV teisėsaugos laidų leidimo platformą.
Kinijos „Salt Typhoon“ kibernetinės-funkcijos grupė (taip pat stebima kaip „CarmSsparrow“, „Ghost Emperor“, „Earth Esties“ ir „UNC2286“), nuo 2019 m. Būtina telekomunikacijų kompanijas ir vyriausybės subjektus.
