Хакеры RedMike взломали более 1000 устройств Cisco и получили права администратора

Последние исследования в области кибербезопасности показали, что поддерживаемая государством китайская хакерская группа «Salt Typhoon» (также известная как «RedMike») с декабря 2024 года по январь 2025 года взломала более 1000 уязвимых устройств Cisco по всему миру и использовала их в своих целях.

Эта кибершпионская кампания была нацелена в основном на телекоммуникационные компании и университеты, что в очередной раз подтверждает глобальную актуальность угроз, исходящих от поддерживаемых государством киберпреступников.

Исследователи выяснили, что группа «Salt Typhoon» использовала две серьезные уязвимости в программном обеспечении Cisco IOS XE:

🔹 CVE-2023-20198 – эта уязвимость позволяла злоумышленникам получить первоначальный доступ к устройствам Cisco через веб-интерфейс.

🔹 CVE-2023-20273 – позволяла хакерам повысить свои привилегии в системе (privilege escalation) и получить полный root-доступ.

После взлома устройств злоумышленники настраивали GRE-туннели (Generic Routing Encapsulation), что обеспечивало им постоянный и скрытый доступ.

Использование GRE-туннелей давало киберпреступникам возможность:

✅ Обходить межсетевые экраны и системы обнаружения вторжений.
✅ Незаметно извлекать конфиденциальные данные (data exfiltration).
✅ Долговременно сохранять контроль над зараженными устройствами.

По данным исследователей, основными целями атак стали телекоммуникационные компании, однако значительный ущерб также был нанесен университетам.

🛜 Телекоммуникационные компании:

• Американский филиал британского телекоммуникационного провайдера.
• Южноафриканская телекоммуникационная компания.
• Интернет-провайдеры в Италии и Таиланде.

🏫 Университеты:

• США: Калифорнийский университет в Лос-Анджелесе (UCLA).
• Нидерланды: Делфтский технический университет (TU Delft).
• Ведущие университеты Аргентины, Бангладеш, Индонезии, Малайзии, Мексики, Таиланда и Вьетнама.

Выбор этих целей не случаен, так как университеты занимаются исследованиями в области телекоммуникаций, инженерии и передовых технологий, что делает их привлекательными для кибершпионов.

Стратегические цели хакеров «Salt Typhoon»

🔍 Перехват конфиденциальных коммуникаций – кража государственных или корпоративных секретов в режиме реального времени.
⚠ Выведение сервисов из строя – нарушение коммуникации во время геополитических кризисов.
🛠 Манипуляция информационными потоками – использование данных для пропаганды или разведки.

Кроме того, сообщается, что хакеры «Salt Typhoon» проявляют интерес к американским политическим лидерам и ключевым информационным системам.

Для защиты от таких атак организациям следует предпринять следующие меры кибербезопасности:

🔄 Обновите устройства Cisco – немедленно установите патчи безопасности для CVE-2023-20198 и CVE-2023-20273.

🚫 Ограничьте доступ к веб-интерфейсам – защитите публично доступные интерфейсы управления.

🛡 Мониторинг GRE-туннелей – регулярно проверяйте подозрительный трафик и несанкционированные изменения конфигурации.

🔐 Используйте шифрование данных – защищайте конфиденциальную информацию с помощью сквозного (end-to-end) шифрования.

ФБР и CISA подчеркивают важность использования зашифрованных мессенджеров для предотвращения перехвата данных злоумышленниками.

Министерство финансов США ввело экономические санкции против китайской компании Sichuan Juxinhe Network Technology Co., Ltd., связанной с группой «Salt Typhoon». Это показывает решительность в борьбе с государственным кибершпионажем.

Однако эксперты отмечают, что одной лишь национальной защиты недостаточно – необходимо усилить глобальные стандарты безопасности и международное сотрудничество.

🔴 Взлом устройств Cisco хакерами «Salt Typhoon» демонстрирует новую тенденцию – атаки на незащищенную инфраструктуру для получения первоначального доступа.

🔴 Их методы указывают на то, что киберпреступники, поддерживаемые государством, используют неподдерживаемые устройства в качестве входных точек.

🔴 Организациям необходимо быть бдительными и готовыми к новым угрозам.

✅ Кибербезопасность – это непрерывный процесс. Регулярное обновление инфраструктуры, бдительность к неизвестным угрозам и соблюдение международных стандартов безопасности помогут защититься от подобных атак! 🛡