Ancaman Persisten Tiongkok Advanced (APT) yang dikenal sebagai Topan Garam telah menargetkan lebih dari seribu perangkat Cisco yang terletak di dalam infrastruktur perusahaan telekomunikasi, penyedia layanan internet (ISP), dan universitas.
Topan garam (alias Redmike, Earth Estries, FamousSparrow, Ghostemperor, dan UNC2286) pertama kali membuat namanya musim gugur yang lalu, dengan laporan eksplosif tentang penargetannya Penyedia telekomunikasi utama AS seperti T-MobileAT&T, dan Verizon. Dalam prosesnya, itu berhasil menguping penyadapan penegakan hukum ASdan bahkan Kampanye Presiden Demokrat dan Republik.
Rupanya, semua perhatian media baru itu tidak banyak memperlambatnya. Menurut grup Inikt yang direkam Future, Topan Garam – yang dilacak Inikt sebagai “Redmike” – – penyedia komunikasi yang diserang dan universitas riset di seluruh dunia pada enam kesempatan pada bulan Desember dan Januari. Kelompok ini mengeksploitasi bug lama di perangkat jaringan Cisco untuk menyusup ke targetnya, dan ini mungkin sebenarnya bukan pertama kalinya ia mencoba taktik ini.
Dalam sebuah pernyataan untuk membaca gelap, juru bicara Cisco menulis bahwa “kami mengetahui laporan baru bahwa mengklaim aktor ancaman topan garam sedang mengeksploitasi dua kerentanan yang diketahui dalam perangkat Cisco yang berkaitan dengan iOS XE. Sampai saat ini, kami belum dapat memvalidasi klaim ini tetapi terus meninjau data yang tersedia. ” Mereka menambahkan bahwa “pada tahun 2023, kami mengeluarkan penasihat keamanan yang mengungkapkan kerentanan ini bersama dengan panduan bagi pelanggan untuk segera menerapkan perbaikan perangkat lunak yang tersedia. Kami sangat menyarankan pelanggan untuk menambal kerentanan yang diketahui yang telah diungkapkan dan mengikuti praktik terbaik industri untuk mengamankan protokol manajemen. “
Serangan terbaru Typhoon Garam pada Elecom, UNIS
Kembali pada bulan Oktober 2023, Cisco mendesak semua pelanggannya untuk segera menarik semua router, sakelar, dll., Dari web – setidaknya mereka yang menjalankan sistem operasi iOS XE. Seorang penyerang telah secara aktif mengeksploitasi kerentanan yang sebelumnya tidak diketahui di antarmuka pengguna (UI) yang, tanpa otorisasi sebelumnya, memungkinkan mereka untuk membuat akun lokal baru dengan hak administratif. Masalahnya ditetapkan CVE-2023-20198dengan skor tertinggi 10 dari 10 pada Sistem Penilaian Kerentanan Umum (CVSS).
Hanya beberapa hari kemudian, Cisco mengungkapkan kerentanan Web UI iOS XE kedua yang sedang dieksploitasi bersama-sama dengan CVE-2023-20198. CVE-2023-20273 Mengambil kerentanan pertama selangkah lebih maju, memungkinkan penyerang untuk menjalankan perintah jahat pada perangkat yang dikompromikan menggunakan hak istimewa root. Ini mendapatkan skor “tinggi” 7,2 CVSS.
Jelas, peringatan Cisco tidak terdengar keras dan cukup luas, karena topan garam mengikuti jalan yang tepat ini untuk baru -baru ini membahayakan organisasi besar di enam benua. Dengan kekuatan lengkap yang diberikan oleh CVE-2023-20198 dan CVE-2023-20273, aktor ancaman kemudian akan mengonfigurasi terowongan enkapsulasi perutean generik (GRE) yang menghubungkan perangkat yang dikompromikan dengan infrastrukturnya sendiri. Ini menggunakan fitur yang sah ini untuk membangun persistensi dan memungkinkan exfiltration data, dengan risiko deteksi yang lebih sedikit oleh firewall atau perangkat lunak pemantauan jaringan.
Meskipun Inikt melacak kampanye ini hanya kembali hingga Desember, mungkin saja ini bukan pertama kalinya Topan Garam menggunakan perangkat Cisco untuk menargetkan telekomunikasi besar.
“Detail sangat sedikit saat ini tersedia untuk umum tentang intrusi yang terkait dengan topan garam terhadap penyedia telekomunikasi AS yang ditemukan pada bulan September 2024, termasuk apakah perangkat Cisco terlibat atau tidak,” jelas Jon Condra, direktur senior intelijen strategis di masa depan yang direkam. “Khususnya, CISA pada bulan Desember 2024 mengeluarkan panduan defensif untuk penyedia komunikasi yang menyiratkan bahwa perangkat Cisco telah dieksploitasi, terkait dengan intrusi topan garam, tanpa memberikan spesifik. Kami tahu bahwa perangkat Cisco telah ditargetkan oleh kelompok -kelompok apt Cina pada banyak kesempatan. Di masa lalu, seperti halnya berbagai perangkat tepi lainnya. “
Korban serangan cyber terbaru Typhoon
Organisasi yang terkena dampak kampanye ini termasuk afiliasi AS dari telekomunikasi Inggris, telekomunikasi AS dan ISP, ISP Italia, telekomunikasi Afrika Selatan, telekomunikasi Thailand, dan Mytel, salah satu telekomunikasi utama Myanmar.
“Salt Typhoon menargetkan sistem telekomunikasi yang merupakan beberapa contoh arsitektur Frankenstein-esque yang paling rumit yang ada,” jelas Zach Edwards, peneliti ancaman senior untuk Silent Push. Bahwa bahkan kerentanan lama mungkin masih dieksploitasi terhadap telekomunikasi, ia menyarankan, bukanlah misteri: “Mereka memiliki beberapa teknologi dalam sistem tertentu yang berasal dari beberapa dekade lalu sehingga, dalam banyak kasus, tidak dapat diganti, dan dengan aspek modern lainnya yang tetap rentan untuk serangan canggih. “
Dan selain telekomunikasi dan ISP sendiri, topan garam juga menyerang 13 universitas, termasuk University of California, Los Angeles (UCLA) dan tiga lembaga AS lainnya, ditambah lagi di Argentina, Indonesia, Belanda, dll. Seperti yang dicatat oleh Inikt, banyak dari ini Universitas melakukan penelitian yang signifikan dalam telekomunikasi, teknik, dan bidang teknologi lainnya.
Secara keseluruhan, sementara lebih dari 100 negara telah disentuh oleh kampanye ini, lebih dari setengah perangkat yang dikompromikan telah berada di Amerika Selatan, India, dan, paling sering, AS.
Condra Future yang direkam menekankan bahwa sementara cakupan topan garam sebelumnya telah berpusat pada AS, katanya, “penargetan kelompok itu meluas jauh melampaui perbatasan AS dan benar -benar global dalam ruang lingkup. Ini berbicara tentang persyaratan intelijen Tiongkok yang strategis untuk mendapatkan akses ke jaringan sensitif untuk keperluan spionase, mendapatkan kemampuan untuk mengganggu atau memanipulasi aliran data, atau pra-posisi sendiri untuk tindakan yang mengganggu atau destruktif jika terjadi eskalasi ketegangan geopolitik atau kinetik yang mengganggu jika terjadi peningkatan geopolitik atau kinetik geopolitik atau kinetik. konflik.”
