Az új kínai hekkertámadások háttere: Ezek a cégek állnak mögötte

A világszerte egyre gyakoribb Sóvihar (Salt Typhoon) hekkercsoport kampányai nyomán most amerikai, brit és több mint egy tucat ország kiberbiztonsági ügynökségei is feltárták, hogy három kínai technológiai cég – a Sichuan Juxinhe Network Technology, a Beijing Huanyu Tianqiong Information Technology és a Sichuan Zhixin Ruijie Network Technology – technológiát és szolgáltatásokat nyújt a kínai Állambiztonsági Minisztériumnak és a hadseregnek. Ezek a cégek kulcsfontosságú szerepet játszanak a Sóvihar (Salt Typhoon) nevű globális kibertámadási hullámban.

Hogyan támad a Sóvihar (Salt Typhoon)?

Az elmúlt három évben a kínai hekkerek világszerte célba vették a kormányzati, katonai, távközlési, közlekedési és szállásadói hálózatokat. Olyan adatokat loptak el, amelyek alkalmasak a célpontok mozgásának és kommunikációjának követésére. Különösen az utóbbi években fordultak egyre inkább a magánszemélyek privát kommunikációjának lehallgatása felé.

Elavult hibák kihasználása – ki van veszélyben?

A támadók főként már ismert, régóta javított hibákat használnak ki hálózati eszközökben, nem pedig titkos nulladik napi (0-day) sebezhetőségeket. A leggyakrabban érintett rendszerek közé tartozik az Ivanti Connect Secure (CVE-2024-21887), a Palo Alto PAN-OS GlobalProtect (CVE-2024-3400), valamint a Cisco IOS XE több súlyos hibája. Ezekkel a résekkel a hekkerek bejuthatnak az eszközökbe, átállíthatják a hozzáférési listákat, SSH-hozzáférést engedélyezhetnek szokatlan portokon, titkos GRE/IPsec alagutakat hozhatnak létre, és speciális SFTP-eszközöket telepíthetnek adatlopáshoz.

Mit tehetsz, ha meg akarod védeni a hálózatodat?

Bár ezekhez a hibákhoz már régóta elérhetők a javítások, sok szervezet nem telepíti azokat időben. Ezért a kiberbiztonsági szakértők azt javasolják: először frissítsd a hálózati eszközöket, majd szigorítsd a beállításokat, folyamatosan figyeld az illetéktelen módosításokat, és kapcsold ki a fölösleges szolgáltatásokat. Külön ajánlott, hogy az adminisztrációs felületek csak külön, védett hálózaton legyenek elérhetők, és ahol csak lehet, tiltsd le a fölösleges – például Smart Install – funkciókat.

Lépésről lépésre terjedt el a támadássorozat

Korábban nagy távközlési cégeket, köztük az AT&T-t, a Verizont és a Lumenn-t is sikeresen támadták, ahol hozzáfértek SMS-ekhez, hangüzenetekhez, érzékeny kommunikációkhoz. Ezek miatt az Egyesült Államokban az érintett cégeknek évente igazolniuk kell, hogy naprakész kockázatkezelési tervük van. A Sóvihar (Salt Typhoon) emellett kihasználta a frissítetlen Cisco rendszereket, hetekig vagy akár hónapokig tartó hálózati jelenlétet fenntartva, sőt 2024-ben kilenc hónapon át rejtőzött az amerikai Nemzeti Gárda egyik egységének hálózatán is, ahonnan adminisztrátori jelszavakat és konfigurációs adatokat lopott el, veszélybe sodorva további kormányzati rendszereket.

2025, adrienne, www.bleepingcomputer.com alapján

Share on Social Media