هکرهای وابسته به دولت چین، تحت عنوان Salt Typhoon (RedMike)، همچنان به هدف قرار دادن شبکه‌های مخابراتی در سراسر جهان ادامه می‌دهند و اخیراً توانسته‌اند به شبکه‌های چندین ارائه‌دهنده خدمات اینترنتی (ISP) در آمریکا نفوذ کنند. این حملات از طریق روترهای سیسکو IOS XE که وصله‌های امنیتی آن‌ها نصب نشده بود، انجام شده است.

بر اساس گزارش گروه تحقیقات تهدیدات Insikt Group (متعلق به Recorded Future)، مهاجمان از دو آسیب‌پذیری امنیتی CVE-2023-20198 و CVE-2023-20273 برای اجرای دستورات از راه دور و افزایش سطح دسترسی سوءاستفاده کرده‌اند.

اهداف و گستره حمله

این حملات تاکنون باعث نقض امنیتی در چندین ارائه‌دهنده خدمات مخابراتی شده است، از جمله:
✔ یک ISP در آمریکا
✔ یکی از شعب آمریکایی یک اپراتور مخابراتی بریتانیایی
✔ یک شرکت مخابراتی در آفریقای جنوبی
✔ یک ISP ایتالیایی
✔ یک اپراتور مخابراتی بزرگ در تایلند

بین دسامبر ۲۰۲۴ تا ژانویه ۲۰۲۵، گروه Salt Typhoon بیش از ۱۰۰۰ روتر سیسکو را هدف قرار داده است که بیش از نیمی از آن‌ها متعلق به آمریکا، آمریکای جنوبی و هند بوده‌اند. بررسی‌های Insikt Group نشان می‌دهد که بیش از ۱۲ هزار دستگاه سیسکو همچنان دارای رابط وب مدیریتی باز روی اینترنت هستند که آن‌ها را در برابر حملات آسیب‌پذیر می‌کند.

روش حمله و تاکتیک‌های مهاجمان

مهاجمان پس از نفوذ به روترهای سیسکو، دستگاه‌ها را بازتنظیم (Reconfigure) کرده و از تونل‌های GRE برای ارتباط مخفیانه با سرورهای تحت کنترل خود استفاده می‌کنند. این تاکتیک به آن‌ها امکان دسترسی پایدار و طولانی‌مدت را فراهم می‌کند.

دو سال پیش، همین آسیب‌پذیری‌ها برای اجرای حملات روز-صفر استفاده شد که منجر به آلوده شدن بیش از ۵۰ هزار دستگاه سیسکو شد و هکرها توانستند بدافزارهای پشتی درون آن‌ها نصب کنند. طبق گزارش Five Eyes در نوامبر ۲۰۲۳، این دو نقص امنیتی جزو چهار آسیب‌پذیری پرمخاطره سال ۲۰۲۳ بوده‌اند.

توصیه‌های امنیتی

Insikt Group به مدیران شبکه هشدار داده است که:
🔹 به‌روزرسانی‌های امنیتی روترهای سیسکو را در سریع‌ترین زمان ممکن نصب کنند.
🔹 از نمایش رابط مدیریت روترها در اینترنت خودداری کنند.
🔹 دسترسی غیرضروری به سرویس‌های مدیریتی را محدود کنند.

شرکت سیسکو در واکنش به این گزارش اعلام کرده که در حال بررسی حملات است و به مشتریان توصیه کرده است که وصله‌های امنیتی را هرچه سریع‌تر اعمال کنند و بهترین روش‌های امنیتی را برای محافظت از پروتکل‌های مدیریتی رعایت کنند.

دسترسی به ارتباطات محرمانه دولت آمریکا

بر اساس گزارش‌های منتشرشده، این حملات بخشی از یک عملیات گسترده جاسوسی سایبری است که توسط FBI و CISA تأیید شده است. در این حملات، هکرهای چینی توانسته‌اند به چندین شرکت مخابراتی بزرگ در آمریکا، از جمله AT&T، Verizon، Lumen، Charter Communications و Windstream، نفوذ کنند.

در جریان این نفوذ، مهاجمان به ارتباطات خصوصی تعدادی از مقامات دولتی آمریکا و همچنین پلتفرم شنود قانونی نیروهای انتظامی این کشور دسترسی پیدا کرده‌اند.

گروه Salt Typhoon که همچنین با نام‌های FamousSparrow، Ghost Emperor، Earth Estries و UNC2286 شناخته می‌شود، از سال ۲۰۱۹ به سازمان‌های مخابراتی و دولتی حمله کرده است.