Działania Salt Typhoon
Niedawne doniesienia na temat działań chińskiej grupy hakerskiej Salt Typhoon rzucają nowe światło na skalę i wyrafinowanie cyberataków wymierzonych w amerykańskich dostawców usług telekomunikacyjnych. Grupa ta, znana również jako Earth Estries, GhostEmperor i UNC2286, działa od co najmniej 2019 roku, koncentrując swoje wysiłki na infiltracji sieci firm telekomunikacyjnych oraz instytucji rządowych. Jej działalność została ostatnio szczegółowo opisana przez ekspertów Cisco Talos i Recorded Future, ujawniając skomplikowane techniki operacyjne. Ataki, które trwały nieprzerwanie przez ponad trzy lata, miały na celu przechwytywanie ruchu sieciowego i zdobywanie poufnych informacji. Hakerzy Salt Typhoon wykorzystali przede wszystkim skradzione dane uwierzytelniające, co umożliwiło im dostęp do kluczowych urządzeń sieciowych. Chociaż początkowo podejrzewano wykorzystanie luk typu zero-day, analiza Cisco Talos wykazała, że jedynym znanym przypadkiem użycia podatności była luka oznaczona jako CVE-2018-0171. Inne doniesienia o wykorzystaniu znanych luk w zabezpieczeniach urządzeń Cisco nie zostały potwierdzone.
JumbledPath jako kluczowe narzędzie
Istotną rolę w atakach odegrało niestandardowe oprogramowanie o nazwie JumbledPath. To stworzone w języku Go narzędzie, skompilowane dla systemów x86_64 Linux, było wyjątkowo elastyczne, umożliwiając działanie na urządzeniach różnych producentów, w tym Cisco Nexus. JumbledPath działało jako narzędzie do przechwytywania pakietów, co pozwalało hakerom na monitorowanie ruchu sieciowego bez wzbudzania podejrzeń. Dodatkowo oprogramowanie to umożliwiało wyłączanie rejestrowania oraz usuwanie dzienników systemowych, co skutecznie zacierało ślady ataków. Salt Typhoon stosował także zaawansowane techniki unikania wykrycia, takie jak przełączanie się między zhakowanymi urządzeniami sieciowymi oraz wykorzystanie urządzeń brzegowych do przenikania do sieci partnerskich. Cyberprzestępcy zmieniali konfiguracje sieci, tworzyli ukryte konta i modyfikowali listy kontroli dostępu, aby utrzymać trwały dostęp do zaatakowanych systemów.
Skala i skutki ataków
Skala ataków była znaczna. Według Insikt Group, między grudniem 2024 a styczniem 2025 roku Salt Typhoon zdołał zaatakować ponad tysiąc urządzeń sieciowych Cisco, z czego ponad połowa znajdowała się w Stanach Zjednoczonych, Ameryce Południowej i Indiach. W wyniku tych działań przechwycono prywatną komunikację urzędników rządowych USA oraz wykradziono informacje dotyczące zatwierdzonych przez sądy wniosków o podsłuchy. Eksperci Cisco Talos zalecają administratorom sieci szczególną czujność, w tym monitorowanie nieautoryzowanych połączeń SSH na niestandardowych portach, analizę dzienników systemowych pod kątem anomalii oraz sprawdzanie nieoczekiwanych zmian w konfiguracji urządzeń. Istotne jest również regularne aktualizowanie oprogramowania i stosowanie poprawek zabezpieczeń, co może znacząco utrudnić podobne ataki w przyszłości. Przykład działań Salt Typhoon pokazuje, jak zaawansowane mogą być współczesne cyberzagrożenia i jak istotna jest proaktywna obrona sieci.
