Salt Typhoon атакует канадского телеком-провайдера через уязвимость Cisco IOS XE
В начале 2025 года было обнаружено масштабное нарушение кибербезопасности, ставшее результатом успешного взлома крупного канадского телекоммуникационного провайдера группой Salt Typhoon. Эта спонсируемая государством из Китая APT-группа воспользовалась известной уязвимостью CVE-2023-20198 в Cisco IOS XE, что позволило получить привилегированный доступ к сетевым устройствам компании и проводить серьезные кибершпионские операции.
Суть уязвимости и последствия взлома
CVE-2023-20198 — уязвимость, позволяющая удаленным злоумышленникам без прохождения аутентификации создавать привилегированные учётные записи и полностью контролировать уязвимые устройства. С момента раскрытия этой уязвимости в октябре 2023 года она стала причиной более 10 000 успешных атак по всему миру.
Однако канадский провайдер не успел своевременно установить необходимые исправления безопасности, что и позволило Salt Typhoon проникнуть в сеть. В результате атаки были взломаны три сетевых устройства, с которых злоумышленники получили конфигурационные файлы и перенастроили как минимум одно устройство для создания GRE-туннеля. Это дало им возможность перехватывать и собирать конфиденциальный сетевой трафик, что особенно опасно для критически важной инфраструктуры.
Широкий масштаб кампании и разведывательные операции
- Salt Typhoon осуществляет попытки проникновения не только в телекоммуникационный сектор Канады, но и затрагивает другие критические отрасли.
- ФБР и Канадский центр кибербезопасности подтвердили, что эта группа действует под контролем Китая и планирует продолжать атаки как минимум следующие два года.
- Аналогичные случаи взломов зафиксированы и в телеком-отрасли США, что свидетельствует о систематической и масштабной кампании.
Цели и методы атаки Salt Typhoon
Основная цель группы — шпионаж и перехват сообщений, связанных с важными объектами, включая:
- правительственных чиновников;
- политических деятелей;
- конфиденциальные телефонные разговоры и метаданные.
Образ действий заключается в использовании известных уязвимостей и медленном применении исправлений со стороны жертв, что повышает эффективность атак.
Реакция и рекомендации по защите
В ответ на серию инцидентов органы безопасности Канады и США призвали организации усилить меры защиты своих сетей:
- проведение тщательного аудита периферийных устройств;
- внедрение протоколов быстрой установки исправлений;
- повышение бдительности в отношении характерных для Salt Typhoon методов атаки.
Отдельно Канадский центр кибербезопасности подчеркнул, что ответственность за атаку «почти наверняка» лежит на сотрудниках Китайской Народной Республики, спонсируемых государством.
Также было отмечено, что международное сообщество начало вводить санкции против китайских компаний, причастных к поддержке таких кибершпионских кампаний. Несмотря на отрицание участия Пекина, сохраняющийся риск использования Salt Typhoon уязвимостей продолжает представлять серьёзную угрозу критической инфраструктуре.
«Своевременная установка исправлений и активная защита — единственный способ предотвратить подобные атаки в будущем», — считают эксперты по кибербезопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Атака Salt Typhoon: китайские хакеры взломали канадский телеком".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.
