Cisco-eszközökön fúrták be magukat a kínaiak a telkókhoz
Már 2023-ban megjelent a javítás ahhoz a két sebezhetőséghez, amelyeken keresztül a kínai Salt Typhoon, avagy RedMike hackerei világszerte beférkőzhettek a távközlési cégek és internetszolgáltatók rendszereibe.
Október elején vált nyilvánossá, hogy kínai hackereknek sikerült behatolniuk több nagy amerikai székhelyű internetszolgáltató hálózatába, így potenciálisan hozzáférhettek olyan információkhoz, melyek a szövetségi kormány lehallgatási kéréseinek teljesítéséhez kialakított rendszerekből származnak. Az elkövetők mögött a 2020 óta aktív Salt Typhoon (vagy RedMike) nevű kínai kiberbűnözői csoportot sejtik, és a jelek szerint a kínai állambiztonsági minisztérium is részt vehetett a támadásokban. A Salt Typhoon hackerei jelenleg is aktívan folytathatják tevékenységüket, és világszerte célozzák a telekommunikációs cégeket. A legfrissebb jelentések szerint több amerikai telekom szolgáltatóhoz, egyetemhez és internetszolgáltatóhoz is sikerült beférkőzni két kritikus, a Cisco IOS XE hálózati eszközököket érintő sérülékenységet keresztül.
A Recorded Future Insikt Group fenyegetéselemző csoportja szerint a kínaiak egész pontosan a CVE-2023-20198 és a CVE-2023-20273 azonosítójú biztonsági sérülékenységeket használhatták ki. Előbbi lehetővé tette a támadók számára a belépési pontként szolgáló, web-alapú kezelőfelülethez való hozzáférést. Utóbbival a rendszer hozzáféréséhez szükséges jogosultság-kiterjesztést tudták kivitelezni az elkövetők. A támadás technikai részleteiről bővebb bejegyzés a CyberThreat.Report oldalán található.
Bérezés, trendezés, 50-es lötyögés Kijött a legnépszerűbb hazai bérkutatás, átfutottuk mit fognak a hazai szakemberek elhinni vagy éppen nem elhinni.
A fenyegetéssel foglalkozó szakértők szerint a hálózatokban feltört és újrakonfigurált Cisco-eszközök a Salt Typhoon-hoz köthető szerverekkel kommunikáltak GRE (Generic Routing Encapsulation) alagutakon keresztül a folyamatos hozzáférés érdekében. Adatgyűjtés után az érzékeny adatokat titkosított csatornákon keresztül küldték ki saját szervereikre.
2024. december és 2025. január között a Salt Typhoon több mint 1000 Cisco hálózati eszközt kompromittált, a célpontok több mint fele az Egyesült Államokból, Dél-Amerikából és Indiából származott. A szakértőknek eddig hat különböző támadáshullámot sikerült azonosítaniuk, és a jelek szerint egy jól megtervezett hírszerzési műveletről lehet szó. Összességében elmondható, hogy az USA-tól kezdve Európán és Dél-Amerikán át egészen Délkelet-Ázsiáig több mint 20 ország szerepelt az érintett országok listáján, beleértve Magyarországot is.
Az Iniskt Group azt tanácsolja a Cisco IOS XE hálózati eszközöket üzemeltető hálózati adminisztrátoroknak, hogy a lehető leghamarabb telepítsék az elérhető biztonsági javításokat, és kerüljék az adminisztrációs felületek vagy a nem alapvető szolgáltatások közvetlen internetes hozzáférését. A történet egyik tanulsága az lehet, hogy a kritikus infrastruktúrát üzemeltető szervezeteknek folyamatosan fejleszteniük kell védelmi képességeiket, és időben kell javítaniuk a problémás sebezhetőségeket, amelyek a nemzeti és gazdasági biztonság alapját képezik.