Tin tặc Salt Typhoon nhắm mục tiêu vào ngành viễn thông thông qua các lỗ hổng trên thiết bị Cisco

Nhóm tin tặc APT do nhà nước Trung Quốc tài trợ có tên là Salt Typhoon, đã bị phát hiện khai thác 2 lỗ hổng đã biết trong các thiết bị Cisco trong các cuộc tấn công gần đây nhằm vào các nhà cung cấp dịch vụ viễn thông.

Theo đó, công ty an ninh mạng Recorded Future (Mỹ) đã xác định một chiến dịch tấn công mạng được thực hiện bởi các tin tặc Salt Typhoon vào tháng 12/2024 và tháng 01/2025 để xâm phạm hơn 1.000 thiết bị mạng Cisco trên toàn cầu, nhiều thiết bị trong số đó có liên quan đến các nhà cung cấp viễn thông. Trong số các tổ chức bị nhắm mục tiêu có một công ty viễn thông Nam Phi, cũng như một chi nhánh tại Mỹ của một công ty viễn thông Anh.

Các nhà nghiên cứu nhận định các tin tặc Salt Typhoon có liên hệ với Bộ An ninh Quốc gia Trung Quốc (MSS), bị cáo buộc là thủ phạm tấn công 9 công ty viễn thông Mỹ vào năm 2024 và các thành viên của nhóm này đã bị các nhà chức trách Mỹ trừng phạt.

Theo Recorded Future, bất chấp việc công khai và lệnh trừng phạt, các tin tặc Salt Typhoon vẫn tiếp tục nhắm mục tiêu vào các nhà cung cấp dịch vụ viễn thông cũng như các trường đại học tại nhiều quốc gia, khai thác các thiết bị kết nối Internet dễ bị tấn công để truy cập ban đầu.

Cụ thể, nhóm này nhắm mục tiêu vào các thiết bị switch và router của Cisco dễ bị tấn công bởi lỗ hổng CVE-2023-20198 và CVE-2023-20273, đây là hai sự cố nghiêm trọng trong nền tảng IOS XE được tiết lộ vào tháng 10/2023 sau khi chúng bị khai thác dưới dạng lỗ hổng zero-day. Trong đó, lỗ hổng CVE-2023-20273 cho phép kẻ tấn công leo thang đặc quyền trong hệ thống của nạn nhân. Tin tặc đã cấu hình lại các thiết bị bị khai thác và tạo liên kết đến chúng để có thể truy cập liên tục.

“Hơn một nửa số thiết bị Cisco bị Salt Typhoon nhắm đến nằm ở Mỹ, Nam Mỹ và Ấn Độ. Các thiết bị còn lại trải dài trên 100 quốc gia khác”, Recorded Future cho biết. Hãng bảo mật này cũng đã xác định các thiết bị mục tiêu trong mạng lưới của các tổ chức viễn thông tại Mỹ, Nam Phi và Myanmar, cũng như các trường đại học ở Argentina, Bangladesh, Indonesia, Malaysia, Mexico, Hà Lan, Thái Lan, Mỹ và Việt Nam.

Những kẻ tấn công đã khai thác các lỗ hổng để tạo một tài khoản đặc quyền trên các thiết bị mục tiêu, sau đó được sử dụng để thêm giao thức Generic Routing Encapsulation (GRE) nhằm có được quyền truy cập liên tục, vượt qua tường lửa và tránh bị phát hiện khi đánh cắp dữ liệu.

“Các tổ chức, đặc biệt là những tổ chức trong ngành viễn thông, phải ưu tiên khắc phục các thiết bị mạng bị rò rỉ, vì các hệ thống chưa được vá vẫn là một vectơ truy cập ban đầu quan trọng đối với các nhóm hoạt động đe dọa do nhà nước Trung Quốc tài trợ. Quản trị viên mạng nên triển khai các biện pháp kiểm soát truy cập nghiêm ngặt, vô hiệu hóa việc lộ giao diện người dùng web không cần thiết và theo dõi các thay đổi cấu hình trái phép”, Recorded Future lưu ý.