Çin destekli tehdit grubu yakın zamanda ABD merkezli iki şirket de dahil olmak üzere dünya çapında beş telekom sağlayıcısını tehlikeye attığı için Salt Typhoon’un hackleme çılgınlığı bu yıl devam etti.
Perşembe günü yayınlanan kaydedilen INSIKT grubunun araştırmasına göre, Salt Typhoon (gelecekteki “Redmike” çağrılarını kaydeden) Aralık 2024 ve Ocak 2025 arasında, açılmamış Cisco Edge cihazlarını hedefleyen bir kampanya yürüttü. Insikt Grubu araştırmacıları, tehdit grubunun iki aylık dönemde dünya çapında 1.000’den fazla cihazdan ödün vermeye çalıştığını gözlemledi.
Özellikle, hedeflerine ilk erişim için tuz tayfası sömürüldü CVE-2023-20198Cisco IOS XE yazılımının web kullanıcı arayüzünde bir ayrıcalık artış güvenlik açığı ve silahlandırılmış CVE-2023-20273kök erişimi elde etmek için ilgili bir ayrıcalık artış kusuru. Her iki güvenlik açıkları da Ekim 2023’te, o zamanlar yaygın bir sömürü altında olan ve tehlikeye atan sıfır gün kusurları olarak açıklandı. binlerce cihaz.
Insikt Group araştırmacıları, bir ABD telekomu ve internet servis sağlayıcısı ve bir ABD merkezli İngiliz telekom sağlayıcısının iştiraki de dahil olmak üzere beş organizasyonda sızan Cisco cihazlarını keşfetti. Araştırmacılar ayrıca UCLA, Loyola Marymount Üniversitesi, Utah Tech Üniversitesi ve California Eyalet Üniversitesi dahil olmak üzere dünyanın dört bir yanındaki üniversitelerde Cisco cihazlarını hedefleyen tuz tayfunlarını gözlemlediler.
“Redmike, bu üniversiteleri, özellikle UCLA ve TU Delft gibi kurumlarda telekomünikasyon, mühendislik ve teknoloji ile ilgili alanlarda araştırmaya erişmeyi hedefledi.” rapor söz konusu.
Insikt Group, hedeflenen Cisco cihazlarının yarısından fazlasının ABD, Güney Amerika ve Hindistan’da bulunduğunu ve ayrıca İnternet’e maruz kalan web kullanıcı arayüzleri olan 12.000’den fazla Cisco cihazını tanımladığını buldu. Araştırmacılar, devlet destekli Çin tehdit gruplarının son beş yılda savunmasız, halka açılan ağ cihazlarından yararlanmaya doğru “yoğun bir şekilde değiştiği” konusunda uyardı.
Şimdi Yama
Kaydedilen gelecek, kuruluşların bu tür cihazlardaki yama güvenlik açıklarına öncelik vermesini ve yapılandırma değişikliklerini izlemesini önerdi. Ayrıca, araştırmacılar kullanıcıları internetteki kamuya açık cihazlar için yönetim arayüzlerini ve gereksiz hizmetleri ortaya çıkarmaktan kaçınmaya çağırdı.
Bu son kampanya Salt Typhoon’un Yüksek profilli ihlaller AT&T, Verizon, T-Mobile ve Lumen Technologies dahil olmak üzere geçen yıl birçok ABD telekom şirketi. Tehdit aktörleri, hedeflenen siyasi figürlerin ve hükümet yetkililerinin özel iletişimini ve kolluk kuvvetleri ile ilgili verilere eriştiler. Telekom sağlayıcıları ihlalleri araştırmak ve tuz tayfun aktörlerinin Ağlarından tamamen kaldırıldı.
Raporda, “Önemli medya kapsamına ve ABD yaptırımlarına rağmen, Insikt Group, RedMike’ın ABD’deki telekomünikasyon sağlayıcılarını hedeflemeye devam etmesini bekliyor ve bu ağlardan geçen iletişim verilerinin miktarı ve yüksek değeri nedeniyle.” Diyerek şöyle devam etti: “Bu, RedMike’ın ABD yasal kesişme operasyonlarını daha önce hedeflemesi ve bu müdahaleler yoluyla önemli ABD siyasi figürlerinin iletişimi ile vurgulanıyor.”
Siber güvenlik dalışı, tehdit faaliyeti hakkında ek yorum için kaydedilen gelecekle temasa geçti.