Коли китайська хакерська група, відома як Salt Typhoon, була виявлена минулої осені для глибокого проникнення великих американських телекомунікаційних компаній – порушуючи майже менше дев’яти операторів телефонів та доступ до американських текстів та дзвінків – це розглядалося як пожежа чотирьох тривог по тривозі Уряд США. Однак, навіть після викриття хакерів цих хакерів вони продовжили свою роздуття, щоб проникнути в телекомунікаційні мережі телекомунікацій, включаючи більше в США.
Дослідники з кібербезпеки зафіксували майбутнє в середу ввечері, виявив у звіті, що вони бачили, що Salt Typhoon порушують п’ять телекомунікацій та постачальників послуг Інтернету по всьому світу, а також понад дванадцять університетів з штату Юта у В’єтнамі грудня та січня. За словами аналітиків компанії, телекомунікацій включає в себе телекомунікацій та послуги з телекомунікацій та інша дочірня компанія Великобританії Telecom, хоча вони відмовилися називати цих жертв у проводі.
“Вони надзвичайно активні і продовжують бути супер активними”, – каже Леві Гундерт, яка керує дослідницькою командою Future Future, відомою як Insikt. “Я думаю, що існує лише загальна зайнятість щодо того, наскільки агресивні телекомунікаційні мережі звертаються до швейцарського сиру”.
Щоб провести цю останню кампанію вторгнення, Salt Typhoon-який записав майбутні твори з власною назвою, Redmike, а не ручкою Typhoon, створеною Microsoft, орієнтована на Інтернет Інтернет Cisco, гігантські маршрутизатори та комутатори. Хакери скористалися двома різними вразливістю в коді цих пристроїв, один з яких забезпечує початковий доступ та інший, що забезпечує кореневі привілеї, надаючи хакерам повний контроль над часто сильним обладнанням з доступом до мережі жертви.
“Кожен раз, коли вони інтегруються в інфраструктурні комунікаційні мережі, такі як маршрутизатори, у вас є ключі до Королівства в тому, що ви можете отримати доступ, спостерігати і закінчити”, – каже Гандерт.
Записане майбутнє виявило понад 12 000 пристроїв Cisco, веб -інтерфейси яких були піддані Інтернету, і кажуть, що хакери орієнтуються на більше тисячі цих пристроїв, встановлених у мережах у всьому світі. З них, схоже, вони зосереджувались на меншому підмножині телекомунікацій та університетських мереж, чиї пристрої Cisco успішно експлуатувались. Для цих вибраних цілей соля Тайфуна утворила пристрої Cisco, які були порушені для підключення до серверів командування та управління хакерами за допомогою загальної маршрутизації або GRE-тунелів-протоколу, що використовується для створення приватних каналів комунікацій-тоді використовували ці посилання для підтримки їх доступу і дані крадіжок.
Коли Wrired приїхав до Cisco для коментарів, компанія висвітлила консалтинг з безпеки, який він опублікував на вразливих місцях програмного інтерфейсу iOS у 2023 році. Стійка версія програмного забезпечення “, – написав речник у заяві.
Зламати мережеві пристрої як точки входу до цільових жертв – часто користуються добре відомими вразливими місцями, які власники пристроїв не змогли відремонтувати – стали стандартним операційним процесом для урагану солі та інших китайських піратських груп. Частково це пов’язано з тим, що ці мережеві пристрої не мають багато перевірок безпеки та програмного забезпечення для моніторингу, яке було поширено на більш традиційні обчислювальні пристрої, такі як сервери та комп’ютери. Майбутні примітки, зафіксовані у своєму звіті, що складні китайські шпигунські групи націлили на ці вразливі мережеві пристрої як основну техніку вторгнення протягом принаймні п’яти років.
