O grupo de hackers chinês conhecido como Salt Typhoon, que se destacou por uma série de ataques a grandes operadoras de telecomunicações no ano de 2024, continua a ser uma ameaça ativa no cenário cibernético. Recentemente, foi identificado que eles estão explorando vulnerabilidades em roteadores Cisco, visando a obtenção de controle sobre provedores de serviços nos Estados Unidos e em várias outras nações.
Essa nova campanha de ataques foi revelada em um relatório detalhado pela Recorded Future, que foi divulgado na última quinta-feira, dia 13. Conforme os especialistas da empresa, o grupo conseguiu comprometer equipamentos de rede da Cisco em, pelo menos, cinco operadoras de telecomunicações entre dezembro de 2024 e janeiro de 2025. Entre os alvos atingidos estão provedores localizados nos seguintes países:
- Estados Unidos
- Reino Unido
- África do Sul
- Itália
- Tailândia
A descoberta indica que, mesmo após uma intensa cobertura da mídia sobre suas atividades e as sanções aplicadas pelos Estados Unidos, o Salt Typhoon continua operando com vigor, apresentando desafios significativos para as autoridades de segurança cibernética e gestores de rede que buscam proteger infraestruturas críticas de telecomunicações contra ataques patrocinados por estados.
Quais são as vulnerabilidades nos roteadores da Cisco?
Segundo o relatório da Recorded Future, o Salt Typhoon está explorando duas vulnerabilidades críticas no sistema operacional IOS XE dos roteadores Cisco:
Os pesquisadores indicam que o grupo hacker inicia a exploração pela CVE-2023-20198, obtendo acesso ao dispositivo ao criar uma conta de usuário local com uma senha definida pelo invasor. Em seguida, utilizando essa conta, eles exploram a CVE-2023-20273 para elevar os privilégios ao nível root.
Uma vez que o controle total sobre o equipamento é estabelecido, o Salt Typhoon reconfigura o roteador para criar um túnel GRE (Generic Routing Encapsulation) que conecta o dispositivo comprometido à sua própria infraestrutura. Tal túnel oferece acesso persistente e facilita a exfiltração de dados, reduzindo o risco de detecção por sistemas de monitoramento e firewalls.
É fundamental destacar que essas vulnerabilidades já são de conhecimento da Cisco, o que torna ainda mais urgente a implementação de medidas de segurança para proteger as redes de telecomunicações contra esses tipos de ataques.
