Cisco akadémián megszerzett tudás kihasználása
A Wired nyilvánosságra hozta, hogy a Salt Typhoonhoz köthető cégek tulajdonosai közül ketten, Qiu Daibing és Yu Yang, korábban részt vettek a Cisco Networking Academy képzési programjában. Ez az a globális, nyitott IT-oktatási portál, amelyet a Cisco indított, hogy hálózati és informatikai alapismereteket adjon világszerte. A felfedezés azért meglepő, mert ugyanő Salt Typhoon azok ellen a hálózati infrastruktúrák ellen hajtott végre kiber-kémkampányokat, amelyekhez a Cisco eszközei is tartoznak, vagyis az a tudás, amit egy hivatalos tanfolyamon szereztek, közvetlenül felhasználták később a támadásokhoz.
A Salt Typhoon 2024 óta legalább kilenc távközlési szolgáltatót tört fel az Egyesült Államokban, és globálisan több mint ezer hálózati eszközt kompromittált, routereket, kapcsolókat, olyan Cisco-eszközöket, amelyekhez a támadók jogosultság nélkül is hozzáférést szereztek, sokszor kihasználatlan vagy nem javított sebezhetőségeken keresztül. A behatolás során a támadók nem gépekre telepített vírusokkal dolgoztak, hanem a hálózati eszközök, routerek, switchek szoftverhibáit, biztonsági réseit használták ki. Így olyan hozzáférést szereztek, amely lehetővé tette számukra a célpontok kommunikációinak valós idejű lehallgatását, adatforgalom elfogását és tartós, rejtett jelenlétet a hálózatban.
A most nyilvánosságra került információ azonban új dimenziót ad az egésznek. Az, hogy a csoport két kulcsembere hivatalos, nyílt IT-oktatásban részesült és később ebből a tudásból kiber-kémkedés lett megkérdőjelezi, hogyan tartható fenn az oktatás nyitottsága, miközben a biztonsági kockázatokat is kezelni kell.
