O Centro Canadense para a Cibersegurança e o Bureau Federal de Investigação (FBI) dos EUA emitiram um alerta sobre ataques cibernéticos realizados por atores ligados à China, conhecidos como Salt Typhoon, com o objetivo de invadir grandes provedores de telecomunicações globais como parte de uma campanha de espionagem cibernética.
Os atacantes exploraram uma falha crítica no software Cisco IOS XE (
CVE-2023-20198
, pontuação CVSS: 10.0) para acessar arquivos de configuração de três dispositivos de rede registrados em uma empresa de telecomunicações canadense em meados de fevereiro de 2025.
Os atores da ameaça também modificaram pelo menos um dos arquivos para configurar um túnel Generic Routing Encapsulation (GRE), possibilitando a coleta de tráfego da rede.
O nome da empresa visada não foi divulgado.
As agências afirmaram que o alvo provável vai além do setor de telecomunicações, dizendo que a mira em dispositivos canadenses pode permitir que os atores da ameaça coletassem informações das redes comprometidas e as usassem como alavanca para invadir dispositivos adicionais.
"Em alguns casos, avaliamos que as atividades dos atores da ameaça foram muito provavelmente limitadas ao reconhecimento de rede", conforme o alerta.
As agências também destacaram que os dispositivos de rede periférica continuam sendo alvos atraentes para atores de ameaças patrocinados pelo estado chinês que buscam invadir e manter acesso persistente aos provedores de serviços de telecomunicações.
Estas descobertas estão em linha com um relatório anterior da Recorded Future que detalhou a exploração das
CVE-2023-20198
e
CVE-2023-20273
para infiltrar-se em empresas de telecomunicações e internet nos EUA, África do Sul e Itália, e usar esses pontos de apoio para configurar túneis GRE para acesso de longo prazo e exfiltração de dados.
O desenvolvimento surge à medida que o NCSC do Reino Unido revelou duas diferentes famílias de malwares chamadas SHOE RACK e UMBRELLA STAND, que têm sido encontradas visando os firewalls da série FortiGate 100D, fabricados pela Fortinet.
Enquanto SHOE RACK é uma ferramenta de pós-exploração para acesso de shell remoto e tunelamento TCP através de um dispositivo comprometido, UMBRELLA STAND é projetado para executar comandos de shell emitidos por um servidor controlado por um atacante.
Interessantemente, SHOE RACK é parcialmente baseado em uma ferramenta de domínio público chamada reverse_shell, que, coincidentemente, também foi reutilizada por um cluster de ameaças com nexos na China chamado PurpleHaze para desenvolver um implante Windows codinomeado GoReShell.
Atualmente, não está claro se essas atividades estão relacionadas.
O NCSC disse ter identificado algumas semelhanças entre UMBRELLA STAND e COATHANGER, uma porta dos fundos que foi previamente utilizada por hackers apoiados pelo estado chinês em um ataque cibernético direcionado a uma rede das forças armadas holandesas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...