Chińska grupa hakerska Salt Typhoon, znana również jako RedMike, przeprowadza ataki na firmy telekomunikacyjne na całym świecie – ostrzegają eksperci ds. cyberbezpieczeństwa z Insikt Group, działającej w ramach firmy Recorded Future. Według badaczy, cyberprzestępcy wykorzystują niezałatane luki w systemie operacyjnym Cisco IOS XE, co pozwala im przejmować kontrolę nad urządzeniami sieciowymi.
Ataki Salt Typhoon koncentrują się głównie na przedsiębiorstwach działających w USA, Wielkiej Brytanii, RPA, Włoszech i Tajlandii. Ich celem jest utrzymanie długotrwałego dostępu do sieci ofiar, co stanowi poważne zagrożenie dla bezpieczeństwa globalnych infrastruktur telekomunikacyjnych.
Przejęcie kontroli przez tunele GRE
Hakerzy uzyskują dostęp do sieci ofiar poprzez przejęcie kontroli nad podatnymi urządzeniami Cisco. Urządzenia te są następnie rekonfigurowane i komunikują się za pośrednictwem tuneli GRE (Generic Routing Encapsulation) z serwerami kontrolowanymi przez Salt Typhoon. Taka metoda pozwala atakującym na długotrwałe utrzymanie dostępu do sieci bez wzbudzania podejrzeń administratorów.
Eksperci podają, że tylko w okresie od grudnia 2024 r. do stycznia 2025 r. Salt Typhoon przeprowadziło ataki na ponad 1000 urządzeń sieciowych Cisco. Ponad połowa tych ataków miała miejsce w Stanach Zjednoczonych, Ameryce Południowej i Indiach.
Tysiące podatnych urządzeń czekających na atak
Skala zagrożenia jest jednak znacznie większa. Przeprowadzone skanowanie Internetu wykazało, że ponad 12 000 urządzeń Cisco pozostaje podatnych na ataki, ponieważ nie zostały odpowiednio zabezpieczone.
Insikt Group podkreśla, że choć atakujący przejęli kontrolę nad tylko 8 procentami narażonych routerów, to wskazuje to na ich selektywne podejście. Oznacza to, że Salt Typhoon przeprowadza działania rozpoznawcze i wybiera wartościowe cele zamiast atakować w sposób chaotyczny.
Te same luki wykorzystane ponownie
Szczególnie niepokojące jest to, że te same luki bezpieczeństwa zostały wykorzystane już dwa lata temu. W 2023 roku umożliwiły one naruszenie bezpieczeństwa ponad 50 000 urządzeń Cisco IOS XE. Sojusz wywiadowczy Five Eyes wymienił te luki wśród pięciu najczęściej wykorzystywanych podatności w tamtym roku. Mimo upływu dwóch lat tysiące urządzeń pozostaje nadal bez niezbędnych aktualizacji.
Eksperci zwracają uwagę, że ponowne wykorzystanie tych samych luk świadczy o braku odpowiednich reakcji ze strony użytkowników i administratorów sieci. Pomimo wcześniejszych ostrzeżeń wiele organizacji nie podjęło niezbędnych kroków w celu zabezpieczenia swoich systemów.
Aktualizacje to konieczność
Specjaliści ds. cyberbezpieczeństwa apelują o natychmiastowe zastosowanie dostępnych aktualizacji zabezpieczeń. Podkreślają również, że profile użytkowników administracyjnych nie powinny być bezpośrednio łączone z Internetem, aby ograniczyć ryzyko nieautoryzowanego dostępu.
Każdy administrator sieci, który dotąd nie zaktualizował swoich systemów, powinien zrobić to jak najszybciej. Salt Typhoon to wyrafinowana grupa hakerska, a ich działania stanowią realne i poważne zagrożenie dla globalnej infrastruktury telekomunikacyjnej. Opóźnianie aktualizacji to zaproszenie do kolejnego cyberataku.
