I ricercatori in materia di sicurezza affermano che il gruppo di hacker collegato al governo cinese, Salt Typhoon, continua a compromettere i fornitori di servizi di telecomunicazioni, nonostante le recenti sanzioni imposte dal governo degli Stati Uniti al gruppo.
In un rapporto condiviso con TechCrunch, la società di intelligence sulle minacce Recorded Future ha affermato di aver osservato Salt Typhoon - che l'azienda tiene traccia come “RedMike” - violare cinque aziende di telecomunicazioni tra dicembre 2024 e gennaio 2025.
Salt Typhoon è stato protagonista lo scorso settembre dopo che è emerso che il gruppo aveva infiltrato diversi giganti della telefonia e di internet degli Stati Uniti, tra cui AT&T e Verizon, per ottenere accesso alle comunicazioni private di alti funzionari governativi e personaggi politici degli Stati Uniti.
Salt Typhoon ha anche hackerato i sistemi utilizzati dalle agenzie di polizia per la raccolta, autorizzata dal tribunale, dei dati dei clienti, potenzialmente accedendo a dati sensibili come le identità dei bersagli cinesi della sorveglianza statunitense.
Recorded Future ha rifiutato di nominare le ultime vittime di Salt Typhoon, ma ha affermato che includono una filiale con sede negli Stati Uniti di un importante fornitore di telecomunicazioni del Regno Unito; un internet service provider statunitense e aziende di telecomunicazioni in Italia, Sudafrica e Tailandia.
Gli hacker hanno anche effettuato ricognizioni - la pratica di scoprire e raccogliere informazioni in modo occulti su un sistema - su più risorse di infrastruttura gestite da Mytel, un fornitore di telecomunicazioni con sede in Myanmar, secondo quanto riferito da Recorded Future.
Per effettuare questi attacchi, Salt Typhoon ha sfruttato due vulnerabilità (tracciate come CVE-20232-0198 e CVE-2023-20273) per compromettere dispositivi Cisco non patchati che eseguono software Cisco IOS XE. Il gruppo di hacker ha cercato di compromettere più di 1.000 dispositivi Cisco a livello globale, concentrando particolarmente l'attenzione sui dispositivi associati alle reti dei fornitori di servizi di telecomunicazioni, ha detto Recorded Future.
Recorded Future ha dichiarato di aver osservato anche Salt Typhoon mirare a dispositivi associati a università, tra cui l'Università della California e Utah Tech. I ricercatori hanno detto che il gruppo di hacker “potrebbe aver preso di mira queste università per accedere a ricerche in settori legati alle telecomunicazioni, all'ingegneria e alla tecnologia.”
Il governo degli Stati Uniti ha sanzionato aziende collegate al gruppo. A gennaio, il Dipartimento del Tesoro degli Stati Uniti - a sua volta preso di mira da hacker governativi cinesi di recente - ha affermato di aver sanzionato una società cibernetica con sede in Cina nota come Sichuan Juxinhe Network Technology, che, secondo quanto afferma, è direttamente collegata a Salt Typhoon.
I ricercatori di Recorded Future affermano che nonostante questa azione, si aspettano che Salt Typhoon continuerà a prendere di mira i fornitori di servizi di telecomunicazioni negli Stati Uniti e altrove.
