A RedMike (Salt Typhoon) a globális távközlési szolgáltatók sebezhető Cisco-eszközeit használja ki

February 13, 2025 Yanac Argentína, Banglades, CVE-2023-20198, CVE-2023-20273, Indonézia, Kiberkémkedés, Kína, RedMike, Salt Typhoon, Telekommunikáció

A Recorded Future Insikt Group 2024 decembere és 2025 januárja között egy kiterjedt kiberkampányt azonosított, amely során a RedMike nevű kínai állami hátterű hackercsoport internetről elérhető Cisco hálózati eszközöket támadott meg. A célpontok főként globális telekommunikációs szolgáltatók voltak, köztük egy amerikai-brit érdekeltségű és egy dél-afrikai szolgáltató. A támadók a Cisco IOS XE szoftver webes felületének két, már ismert, de nem javított sérülékenységét (CVE-2023-20198 és CVE-2023-20273) használták ki, amelyek lehetővé tették számukra a root jogosultságok megszerzését és egy GRE alagút létrehozását a tartós hozzáférés érdekében.

A RedMike világszerte több mint ezer Cisco eszközt próbált meg feltörni, jellemzően a telekommunikációs szektort támadva. A támadások során egyes amerikai egyetemek is érintettek lettek, például a UCLA, valamint kutatóintézeteket is támadtak Argentínában, Bangladesben, Indonéziában és más országokban. Ezeket az intézményeket valószínűleg telekommunikációs, mérnöki és technológiai kutatásaik miatt célozták. A támadássorozat hat szakaszban zajlott 2024 decemberétől 2025 januárjáig. A Recorded Future kutatói több, mint nyolcmillió kérést regisztráltak, melyek a feltört eszközökre irányultak.

A támadás hátterében stratégiai célok is álltak: a kínai hírszerzés információkat próbált szerezni a megtámadott távközlési infrastruktúrákról, és a politikai szereplők kommunikációját is megfigyelhette. A támadók különösen a jogszerű lehallgatási programokhoz való hozzáférést keresték, ami komoly nemzetbiztonsági kockázatot jelenthetett. Az Egyesült Államok válaszul szankciókat vezetett be a támadásokhoz köthető, Szecsuán tartományban működő Juxinhe Network Technology ellen, amely közvetlenül részt vett az amerikai távközlési szolgáltatók elleni műveletekben.

A szakértők kiemelték, hogy a rendszergazdáknak meg kell erősíteniük a hozzáférés-ellenőrzést, tiltaniuk kell a szükségtelen webes felületeket, és szigorúan monitorozniuk kell a konfigurációs változásokat. A CISA és az FBI közös ajánlása szerint az érzékeny kommunikációhoz végponttól végpontig terjedő titkosítást kell használni, míg a nemzetközi együttműködés fokozása elengedhetetlen a hasonló állami szintű kiberfenyegetések elhárításához.

(forrás)

You May Also Like

A kínai Velvet Ant az F5 BIG-IP készülékeket veszi célba

Visszatért a kínai GhostEmperor

A japán űrügynökség (JAXA) tavaly óta több kibertámadással is szembesült