Salt Typhoon olarak bilinen Çin Gelişmiş Kalıcı Tehdit (APT), telekomünikasyon şirketlerinin, İnternet Servis Sağlayıcıları (ISS) ve üniversitelerin altyapılarında bulunan binden fazla Cisco cihazını hedeflemiştir.
Tuz tayfası (AKA Redmike, Earth Astries, FamilySparrow, Ghostemperor ve UNC2286) ilk olarak geçen sonbaharda, hedefleme hakkında patlayıcı raporlarla adını verdi T-Mobile gibi büyük ABD telekomünikasyon sağlayıcılarıAT&T ve Verizon. Bu süreçte başardı ABD kolluk telekaplarına kulak misafirive hatta Demokratik ve Cumhuriyetçi başkanlık kampanyaları.
Görünüşe göre, tüm bu yeni medya ilgisi onu yavaşlatmak için çok az şey yaptı. Kaydedilen Future’ın Insikt grubuna göre, Insikt “Redmike” olarak izleyen Salt Typhoon – Dünya çapında saldırıya uğrayan iletişim sağlayıcıları ve araştırma üniversiteleri Aralık ve Ocak aylarında altı kez. Grup, hedeflerine sızmak için Cisco Network cihazlarındaki eski hatalardan yararlandı ve bu aslında bu taktiği ilk kez denemeyebilir.
Salt Typhoon’un Elecom, Unis’teki son saldırıları
Ekim 2023’te Cisco, tüm müşterilerini tüm yönlendiricilerini, anahtarlarını vb. Web’den hemen çekmeye çağırdı – en azından iOS XE işletim sistemini çalıştıranlar. Bir saldırgan, daha önce yetkilendirilmeden, idari ayrıcalıklarla yeni yerel hesaplar oluşturmalarına izin veren kullanıcı arayüzünde (UI) daha önce bilinmeyen bir güvenlik açığından aktif olarak yararlanıyordu. Sorun atandı CVE-2023-20198ortak güvenlik açığı puanlama sisteminde (CVSS) mümkün olan en yüksek puan 10 üzerinden 10 puanla.
Sadece birkaç gün sonra Cisco, CVE-2023-20198 ile birlikte kullanılan ikinci bir iOS XE Web UI güvenlik açığını açıkladı. CVE-2023-20273 İlk güvenlik açığını bir adım daha ileri götürerek, saldırganların kök ayrıcalıklarını kullanarak güvenliği ihlal edilmiş cihazlarda kötü amaçlı komutlar çalıştırmasına izin verdi. “Yüksek” 7.2 CVSS skoru kazandı.
Açıkçası, Cisco’nun uyarıları yüksek sesle ve geniş bir şekilde duyulmadı, çünkü tuz tayfun altı kıtadaki büyük organizasyonları az önce tehlikeye atmak için bu yolu izledi. CVE-2023-20198 ve CVE-2023-20273 tarafından sağlanan tam güçle, tehdit oyuncusu, tehlikeye atılan cihazları kendi altyapısıyla birleştiren genel yönlendirme kapsülleme (GRE) tünellerini yapılandıracaktır. Kalıcılık oluşturmak ve veri açmayı sağlamak için bu meşru özelliği, güvenlik duvarları veya ağ izleme yazılımı tarafından daha az tespit riski ile kullandı.
Insikt bu kampanyayı sadece Aralık ayına kadar takip etse de, Salt Typhoon’un ilk kez Cisco cihazlarını büyük telkosları hedeflemek için kullanmamış olması mümkündür.
Kayıtlı gelecekte stratejik zeka kıdemli direktörü Jon Condra, “Eylül 2024’te Cisco cihazlarının dahil olup olmadığı da dahil olmak üzere, ABD telekomünikasyon sağlayıcılarına karşı tuz tayfuna bağlı müdahaleler hakkında halka açık bir şekilde mevcut.” “Özellikle, Aralık 2024’te CISA, iletişim sağlayıcılar için Cisco cihazlarının sömürüldüğünü ima eden, spesifikasyon sağlayıcılar için, ayrıntılar sağlamadan, Salt Tayfun müdahalelerine bağlı olarak savunma rehberliği ortaya koyuyor. Geçmişte, çeşitli diğer kenar cihazlarında olduğu gibi. “
Salt Typhoon’un en son siber saldırı kurbanları
Bu kampanyadan etkilenen kuruluşlar arasında bir Birleşik Krallık Telco, ABD Telco ve ISS, İtalyan ISS, Güney Afrikalı bir telco, Tayland Telco ve Myanmar’ın önde gelen telcos’larından biri olan bir ABD bağlı kuruluşu yer alıyor.
Silent Push kıdemli tehdit araştırmacısı Zach Edwards, “Tuz tayfası, var olan en karmaşık Frankenstein-esque örneklerinden bazıları olan telekomünikasyon sistemlerini hedefliyor.” Eski güvenlik açıklarının bile telkoslara karşı sömürülebilebileceği, böyle bir gizem olmadığını şöyle değil: “Onlarca yıl boyunca, birçok durumda değiştirilemeyen ve savunmasız kalan diğer modernize göre kalan bazı sistemlerde bazı teknolojilere sahipler. sofistike saldırılara. “
Telcos ve ISS’lerin kendilerinin yanı sıra, Tuz Typhoon ayrıca Kaliforniya Üniversitesi, Los Angeles (UCLA) ve üç ABD kurumları gibi 13 üniversiteye, ayrıca daha fazlası Arjantin, Endonezya, Hollanda vb. Üniversiteler telekomünikasyon, mühendislik ve diğer teknoloji alanlarında önemli araştırmalar yapmaktadır.
Genel olarak, 100’den fazla ülkeye bu kampanyaya dokunulurken, tehlikeye atılan cihazların yarısından fazlası Güney Amerika, Hindistan ve çoğu zaman ABD’de olmuştur.
Kaydedilen Future’s Condra, önceki tuz tayfun kapsamı ABD merkezli olsa da, “Grubun hedeflemesi ABD sınırlarının çok ötesine uzanıyor ve kapsamı gerçekten küreseldir. Bu, casusluk amacıyla hassas ağlara erişim elde etmek, veri akışlarını bozma veya manipüle etme veya jeopolitik gerginliklerin veya kinetik bir artış durumunda kendilerini yıkıcı veya yıkıcı eylem için ön konumlandırma yeteneği elde etmek için stratejik Çin istihbarat gereksinimlerine değinir. anlaşmazlık.”