Хакерская группа Salt Typhoon, связанная с правительством КНР, использует программу JumbledPath для того, чтобы шпионить за сетевым трафиком и возможно украсть личные данные. Они в основном нападают на американские компании связи.
Salt Typhoon, также известная как Earth Estries, GhostEmperor и UNC2286, начала действовать в 2019 году и занимается шпионажем против государственных учреждений и провайдеров связи. В прошлом году злоумышленники успешно атаковали крупнейшие американские провайдеры, такие как Verizon, AT&T, Lumen Technologies и T-Mobile.
По данным расследования, хакеры смогли получить доступ к личным сообщениям некоторых американских чиновников и украли информацию о запросах на прослушивание, утверждённых судом. С декабря 2024 по январь 2025 года группа атаковала более 1000 устройств Cisco, большинство из которых находились в США, Южной Америке и Индии.
Эксперты выяснили, что злоумышленники оставались незамеченными в сети провайдеров более трёх лет и использовали украденные данные для вторжения. Они также использовали уязвимость CVE-2018-0171, но не использовали новые уязвимости.
После вторжения хакеры увеличивали свои права, украдая дополнительные данные из устройств и перехватывая аутентификационный трафик. Они также изменяли конфигурации маршрутизаторов для скрытия своих следов.
Хакеры использовали вредоносную программу JumbledPath для перехвата трафика с устройств и скрытия своей активности. Они также могли стирать логи, чтобы затруднить анализ.
Рекомендуется администраторам отслеживать подозрительную активность на сетевых устройствах и устанавливать обновления безопасности, чтобы избежать атак.
© KiberSec.ru – 02.04.2025, обновлено 02.04.2025
Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.
