Kanadai távközlési céget kompromittált a Salt Typhoon
A Kanadai Kiberbiztonsági Központ és az FBI megerősítette, hogy a kínai állam által támogatott Salt Typhoon hackercsoport kanadai távközlési cégeket is célba vett, és februárban betört egy távközlési szolgáltatóhoz. A 2025. februári incidens során a Salt Typhoon kihasználta a CVE-2023-20198 hibát, egy kritikus Cisco IOS XE sérülékenységet, amely lehetővé teszi egy távoli, nem hitelesített támadók számára, hogy tetszőleges fiókokat hozzon létre és admin szintű jogosultságokat szerezzen. A hibát 2023 októberében hozták nyilvánosságra, amikor kiberszereplők zero dayként több mint 10 000 eszköz feltörésére használták ki a Cisco sérülékenységét.
Az összefoglaló szerint a Salt Typhoon egy kanadai távközlési vállalat három hálózati eszközét kompromittálta 2025. februárban. A kiberszereplő a CVE-2023-20198 kódot kihasználva mindhárom eszközről megszerezte a futó konfigurációs fájlokat, és legalább az egyik fájlt módosítotte, hogy GRE-alagutat konfiguráljon, lehetővé téve a forgalomgyűjtést a hálózatról.
A kanadai Kiberbiztonsági Központ megjegyzi, hogy a valószínűleg Salt Typhoonhoz köthető tevékenység túlmutat a távközlési ágazaton, és több más iparágat is célba vehetett. A csoport tevékenysége sok esetben a felderítésre korlátozódik, bár a belső hálózatokból ellopott adatok felhasználhatók oldalirányú mozgásra vagy ellátási láncot érintő támadásokra.
A Kiberközpont arra figyelmeztetett, hogy a kanadai szervezetek elleni támadások szinte biztosan folytatódni fognak a következő két évben.
