Mi történt pontosan?
A támadók legalább három hálózati eszközt kompromittáltak, ahonnan letöltötték a működési konfigurációs fájlokat, és egy fájlt úgy módosítottak, hogy GRE-alagutat állítsanak be. Ennek köszönhetően a hálózat forgalmának egy részét el tudták lopni. Hasonló támadásokat már tavaly októberben is észleltek amerikai internetszolgáltatóknál. Bár akkor nem voltak ismert sikeres adatlopások, a kanadai hatóságok már akkor figyelmeztettek a növekvő kockázatra, de több kritikus szervezet sem tett meg minden szükséges védelmi intézkedést.
Még mindig célpontban a távközlés
A mostani vizsgálatok szerint a Salt Typhoon aktivitása nem áll meg a távközlési szektornál, hanem számos más területen is próbálkozik. Jellemzően először felderítik a belső hálózatokat, az így megszerzett adatokat pedig későbbi támadásokhoz vagy ellátási lánc elleni akciókhoz használják fel. A következő két évben a Kanadai Kibervédelmi Központ (Canadian Centre for Cyber Security) szinte biztosan folytatódó támadásokra számít, főleg olyan vállalatok ellen, amelyek kulcsfontosságú adatokkal (például híváslisták, helyadatok, SMS-tartalmak, politikai kommunikáció) dolgoznak. A kiberbűnözők főként hálózati peremeszközökre, routerekre, VPN-ekre specializálódnak, de a felhőszolgáltatók és menedzselt IT-cégek ügyfelei is veszélyben lehetnek.
Már a legnagyobb szolgáltatók is az áldozatok között
Az elmúlt egy évben már olyan óriásokat is ért támadás, mint az AT&T, a Verizon vagy a Windstream, sőt a hét elején a Viasat is elismerte, hogy a Salt Typhoon hozzáfért rendszereihez, bár ügyféladatokat nem tudtak eltulajdonítani. Az illetékesek szerint érdemes mielőbb megtenni a szükséges védelmi lépéseket, hiszen a támadások intenzitása biztosan növekedni fog.
