Trong sự cố vào tháng 2/2025, nhóm Salt Typhoon đã khai thác lỗ hổng mang ký hiệu CVE-2023-20198, một lỗ hổng nghiêm trọng của Cisco IOS XE cho phép những kẻ tấn công từ xa và chưa xác thực tạo các tài khoản tùy ý, đồng thời giành được các đặc quyền cấp quản trị viên.
 |
Lỗ hổng này lần đầu tiên được tiết lộ vào tháng 10/2023, khi có báo cáo rằng, các tác nhân đe dọa đã khai thác nó như một lỗ hổng zero-day để tấn công hơn 10.000 thiết bị.
Mặc dù, thời gian kể từ đó cho đến nay là khoảng 16 tháng, nhưng ít nhất một nhà cung cấp dịch vụ viễn thông lớn ở Canada vẫn chưa vá lỗi, tạo điều kiện cho Salt Typhoon dễ dàng xâm phạm các thiết bị.
Bản tin nêu rõ: "Ba thiết bị mạng đã đăng ký từ một công ty viễn thông Canada đã bị các tác nhân Salt Typhoon xâm phạm vào giữa tháng 2/2025".
"Những kẻ tấn công đã khai thác lỗ hổng CVE-2023-20198 để truy xuất các tệp cấu hình đang chạy từ cả ba thiết bị và sửa đổi ít nhất một trong các tệp để định cấu hình đường hầm GRE, cho phép thu thập lưu lượng từ mạng".
Vào tháng 10/2024, sau khi Salt Typhoon xâm phạm nhiều nhà cung cấp băng thông rộng của Hoa Kỳ, chính quyền Canada đã ngầm theo dõi và đánh dấu hoạt động do thám của nhóm tin tặc này khi nhắm vào hàng chục tổ chức quan trọng trong nước.
Mặc dù không phát hiện được dấu hiệu xâm phạm thực tế nào của nhóm Salt Typhoon vào thời điểm đó và bất chấp các lời kêu gọi nâng cao an ninh, một số nhà cung cấp dịch vụ quan trọng đã không thực hiện hành động bắt buộc.
Trung tâm Cyber Centre lưu ý rằng, dựa trên các cuộc điều tra riêng biệt và thông tin tình báo do cộng đồng cung cấp, hoạt động có khả năng liên quan đến Salt Typhoon mở rộng ra ngoài lĩnh vực viễn thông, nhắm vào nhiều ngành khác.
Trong nhiều trường hợp, hoạt động này có thể chỉ giới hạn ở hoạt động do thám, mặc dù dữ liệu bị đánh cắp từ các mạng nội bộ có thể được sử dụng để di chuyển ngang hoặc tấn công chuỗi cung ứng.
Cyber Centre cảnh báo rằng, các cuộc tấn công vào các tổ chức của Canada "gần như chắc chắn sẽ tiếp tục" trong hai năm tới, đồng thời kêu gọi các tổ chức quan trọng bảo vệ mạng của họ.
Các nhà cung cấp dịch vụ viễn thông xử lý dữ liệu có giá trị, chẳng hạn như siêu dữ liệu cuộc gọi, dữ liệu vị trí thuê bao, nội dung SMS và thông tin liên lạc của chính phủ/chính trị, là mục tiêu chính của các nhóm tin tặc.
Các cuộc tấn công của chúng thường nhắm vào các thiết bị biên tại chu vi mạng, bộ định tuyến, tường lửa và thiết bị mạng riêng ảo (VPN), trong khi nhà mạng viễn thông (MSP) và nhà cung cấp đám mây cũng là mục tiêu của các cuộc tấn công gián tiếp vào khách hàng của họ.
Bình luận