中国のハッカー集団 Salt Typhoon は、現在も世界中の電気通信事業者を積極的に標的としており、パッチの適用されていない Cisco IOS XE ネットワーク・デバイスを経由して、さらに多くの米国電気通信事業者に侵入している。
Recorded FutureのInsikt Group脅威調査部門は、中国のハッキンググループ(Salt TyphoonとRedMikeを追跡)がCVE-2023-20198の特権昇格とCVE-2023-20273のWeb UIコマンドインジェクションの脆弱性を悪用していると述べています。
これらの継続的な攻撃は、米国のインターネット・サービス・プロバイダー(ISP)、英国の通信プロバイダーの米国関連会社、南アフリカの通信プロバイダー、イタリアのISP、タイの大手通信プロバイダーなど、複数の通信プロバイダーですでにネットワーク侵害を引き起こしている。
脅威の研究者によると、これらのネットワーク上で侵害され再設定されたCiscoデバイスが、持続的なアクセスのためにGRE(Generic Routing Encapsulation)トンネルを介してSalt Typhoonが管理するサーバーと通信しているのを発見したという。
2024年12月から2025年1月にかけて、Salt Typhoonは1,000台以上のCiscoネットワークデバイスを標的としており、その半数以上が米国、南米、インドのものだった。
「Insikt Groupは、インターネットスキャンデータを使用して、Web UIがインターネットに公開されている12,000台以上のCiscoネットワークデバイスを特定しました。
“1,000台以上のCiscoデバイスが標的とされたが、Insikt Groupは、この数は露出したデバイスの8%に過ぎず、RedMikeが定期的に偵察活動を行い、通信プロバイダーにリンクされたデバイスを選択していたことから、この活動は集中的であった可能性が高いと評価している。”
2年前、この2つの脆弱性はゼロデイ攻撃で悪用され、50,000台以上のCisco IOS XEデバイスを危険にさらし、不正な特権アカウントを経由したバックドア型マルウェアの展開を可能にした。ファイブ・アイズの11月の勧告によると、これらのセキュリティ欠陥は、2023年に最も頻繁に悪用されるトップ4に入っている。
イニスクト・グループは、インターネットに露出したCisco IOS XEネットワーク・デバイスを運用するネットワーク管理者に対し、利用可能なセキュリティ・パッチをできるだけ早く適用し、管理インターフェイスや非本質的なサービスをインターネットに直接公開しないよう助言している。
「現在までのところ、これらの主張を検証することはできていないが、入手可能なデータの検証を続けている。シスコの広報担当者は、「2023年に、これらの脆弱性を開示するセキュリティ勧告を発行し、利用可能なソフトウェアの修正プログラムを緊急に適用するよう顧客に案内しました。
「公開された既知の脆弱性にパッチを適用し、管理プロトコルの安全性を確保するための業界のベストプラクティスに従うよう、お客様に強くお勧めします」。
これらの侵害は、10月にFBIとCISAによって確認されたより広範なキャンペーンの一部である。これらの攻撃において、中国国家のハッカーは、複数の米国通信キャリア(AT&T、Verizon、Lumen、Charter Communications、Consolidated Communications、Windstreamを含む)および他の数十カ国の通信会社に侵入した。
彼らは米国の通信会社のネットワークにアクセスする一方で、「限られた数」の米国政府高官の「私的通信」を侵害し、米国の法執行機関の盗聴プラットフォームにアクセスした。
中国のサイバースパイ集団「ソルト・タイフーン」(FamousSparrow、Ghost Emperor、Earth Estries、UNC2286としても追跡されている)は、少なくとも2019年以降、通信会社や政府機関に侵入している。
更新 2月14日 11:31 EST:シスコの声明を追加。
Comments