CISA: Οδηγός για προστασία δικτύων από τους Κινέζους hackers Salt Typhoon
SecNews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
CISA: Οδηγός για προστασία δικτύων από τους Κινέζους hackers Salt Typhoon
https://www.secnews.gr/657424/cisa-odigos-prostasias-salt-typhoon/
Aug 28th 2025, 15:28
by Digital Fortress
Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA), σε συνεργασία με την NSA, το FBI και έναν συνασπισμό διεθνών εταίρων, έχει εκδώσει έναν οδηγό κυβερνοασφάλειας που περιγράφει μια εκτεταμένη κατασκοπευτική εκστρατεία από Κινέζους κρατικούς hackers.
Η 37σέλιδη αναφορά, με τίτλο "Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System", περιγράφει τις τακτικές, τεχνικές και διαδικασίες (TTPs) που χρησιμοποιούν αυτές οι προηγμένες απειλητικές ομάδες (APT) για να διεισδύσουν και να διατηρήσουν μακροχρόνια πρόσβαση σε τηλεπικοινωνιακές, κυβερνητικές, μεταφορικές και στρατιωτικές υποδομές.
Σύμφωνα με τον οδηγό, αυτοί οι κυβερνοεγκληματίες, που παρακολουθούνται με ονόματα όπως "Salt Typhoon" και "GhostEmperor", δραστηριοποιούνται τουλάχιστον από το 2021. Η επιχείρηση στοχεύει στην κλοπή δεδομένων που επιτρέπουν στις κινεζικές υπηρεσίες πληροφοριών να παρακολουθούν τις επικοινωνίες και τις κινήσεις των στόχων τους σε όλο τον κόσμο.
Δείτε επίσης: Κινέζοι hackers παραβιάζουν τηλεπικοινωνίες μέσω Cisco routers
Η CISA συνδέει ρητά τη δραστηριότητα με τρεις κινεζικές εταιρείες τεχνολογίας: Sichuan Juxinhe Network Technology Co. Ltd., Beijing Huanyu Tianqiong Information Technology Co. και Sichuan Zhixin Ruijie Network Technology Co. Ltd. Οι εταιρείες προσέφεραν κυβερνοπροϊόντα και υπηρεσίες στο Υπουργείο Εθνικής Ασφάλειας της Κίνας και στον Λαϊκό Απελευθερωτικό Στρατό της χώρας, επιτρέποντας τη διεξαγωγή κυβερνοκατασκοπείας.
Στοχεύοντας εξοπλισμό δικτύωσης
Ο οδηγός αναφέρει ότι οι επιτιθέμενοι έχουν καταγράψει «σημαντική επιτυχία» εκμεταλλευόμενοι γνωστά και επιδιορθωμένα κενά ασφαλείας σε συσκευές network edge αντί να βασίζονται σε zero-day επιθέσεις.
Αυτά τα κενά περιλαμβάνουν:
• CVE-2024-21887 (Ivanti Connect Secure command injection)
• CVE-2024-3400 (Palo Alto PAN-OS GlobalProtect RCE)
• CVE-2023-20273 και CVE-2023-20198 (Cisco IOS XE authentication bypass και privilege escalation)
• CVE-2018-0171 (Cisco Smart Install RCE)
Χρησιμοποιώντας αυτά τα κενά, οι επιτιθέμενοι αποκτούν πρόσβαση σε συσκευές routing και δικτύου, καταφέρνοντας να τροποποιήσουν καταλόγους ελέγχου πρόσβασης, να ενεργοποιήσουν το SSH σε μη τυπικές θύρες, να δημιουργήσουν GRE/IPsec tunnels και να εκμεταλλευτούν Cisco Guest Shell containers για να διατηρήσουν την παρουσία τους.
Καθώς πολλά από αυτά τα κενά έχουν διορθωθεί εδώ και καιρό, τόσο το NCSC όσο και η NSA προτρέπουν τους οργανισμούς να δώσουν προτεραιότητα στη διόρθωση αυτών των συσκευών.
Η CISA είχε προηγουμένως προειδοποιήσει ότι οι διαχειριστές πρέπει να απενεργοποιήσουν τη λειτουργία Cisco Smart Install (SMI) μετά την παρατήρηση κατάχρησής της σε επιθέσεις από Κινέζους και Ρώσους επιτιθέμενους.
Δείτε επίσης: Η ομάδα Salt Typhoon παραβίασε εταιρείες τηλεπικοινωνίας των ΗΠΑ
CISA, NSA, FBI: Συμβουλές προστασίας
Ο οδηγός αντιπροσωπεύει μια τεράστια διεθνή προσπάθεια, με συνεισφέρουσες υπηρεσίες από την Αυστραλία, τον Καναδά, το Ηνωμένο Βασίλειο, τη Νέα Ζηλανδία, τη Γερμανία, την Ιαπωνία, την Ιταλία και την Πολωνία, μεταξύ άλλων. Παρέχει λεπτομερείς οδηγίες για το κυνήγι απειλών, προτρέποντας τους οργανισμούς να παρακολουθούν για μη εξουσιοδοτημένες αλλαγές διαμόρφωσης, απροσδόκητα network tunnels (GRE, IPsec) και ύποπτη χρήση εργαλείων καταγραφής πακέτων. Επίσης, πρέπει να ελέγχουν τα virtualized containers στις συσκευές δικτύου για μη εξουσιοδοτημένη δραστηριότητα, να επαληθεύουν την ακεραιότητα του firmware και του λογισμικού και να εφαρμόζουν ισχυρή καταγραφή και προώθηση των αρχείων καταγραφής σε έναν ασφαλή, κεντρικό διακομιστή.
Οι στρατηγικές μετριασμού επικεντρώνονται στην ενίσχυση της υποδομής δικτύου. Οι συστάσεις περιλαμβάνουν την απενεργοποίηση μη χρησιμοποιούμενων θυρών και υπηρεσιών, την εφαρμογή αυστηρού management-plane isolation, την επιβολή ισχυρών, μοναδικών διαπιστευτηρίων και την απενεργοποίηση παλαιών πρωτοκόλλων όπως το Telnet και το SNMPv1/v2 υπέρ ασφαλών, σύγχρονων εναλλακτικών.
Η συμβουλευτική οδηγία λειτουργεί ως κρίσιμος πόρος για τους υπεύθυνους προστασίας δικτύων, παρέχοντας όχι μόνο στρατηγικές κατευθύνσεις αλλά και συγκεκριμένους δείκτες παραβίασης, όπως διευθύνσεις IP που χρησιμοποιούνται από τους δράστες και YARA rules για την ανίχνευση του προσαρμοσμένου κακόβουλου λογισμικού τους.
Η CISA και οι συνεργάτες της προτρέπουν έντονα τους οργανισμούς, ειδικά στον τομέα των τηλεπικοινωνιών, να χρησιμοποιήσουν τον οδηγό για να κυνηγήσουν προληπτικά κακόβουλες δραστηριότητες και να ενισχύσουν τις άμυνές τους έναντι αυτής της επίμονης παγκόσμιας απειλής.
Προηγούμενες επιθέσεις της Salt Typhoon
Οι νέες οδηγίες έρχονται μετά από χρόνια επιθέσεων της Salt Typhoon σε παρόχους τηλεπικοινωνιών και κυβερνητικούς φορείς.
Δείτε επίσης: ΗΠΑ: Οι Κινέζοι hackers Salt Typhoon παραβίασαν παρόχους υπηρεσιών Διαδικτύου
Η ομάδα είχε προηγουμένως παραβιάσει μεγάλους παρόχους τηλεπικοινωνιών των ΗΠΑ, όπως οι AT&T, Verizon και Lumen, αποκτώντας πρόσβαση σε ευαίσθητες επικοινωνίες όπως μηνύματα κειμένου, φωνητικά μηνύματα και συστήματα υποκλοπών των ΗΠΑ.
Αυτές οι παραβιάσεις ανάγκασαν την FCC να διατάξει τους παρόχους τηλεπικοινωνιών να ασφαλίσουν τα δίκτυά τους σύμφωνα με τον νόμο Communications Assistance for Law Enforcement Act (CALEA) και να υποβάλουν ετήσιες πιστοποιήσεις που επιβεβαιώνουν ότι διαθέτουν ένα ενημερωμένο σχέδιο διαχείρισης κινδύνων κυβερνοασφάλειας.
Η Salt Typhoon εκμεταλλεύτηκε επίσης μη επιδιορθωμένα κενά ασφαλείας του Cisco IOS XE για να εισχωρήσει σε περισσότερους παρόχους τηλεπικοινωνιών των ΗΠΑ και του Καναδά, όπου εγκατέστησε GRE tunnels για συνεχιζόμενη πρόσβαση.
Οι επιτιθέμενοι χρησιμοποίησαν, ακόμα, κακόβουλο λογισμικό γνωστό ως JumbledPath για να παρακολουθούν και να καταγράφουν το traffic από τα δίκτυα τηλεπικοινωνιών.
Εκτός από τις παραβιάσεις τηλεπικοινωνιών, η Salt Typhoon συνδέθηκε με μια παραβίαση δικτύου της Εθνοφρουράς των ΗΠΑ, κατά τη διάρκεια της οποίας έκλεψαν αρχεία ρυθμίσεων και διαπιστευτήρια διαχειριστή που θα μπορούσαν να χρησιμοποιηθούν για την παραβίαση άλλων κυβερνητικών δικτύων.
Πηγή: www.bleepingcomputer.com
© SecNews.gr - CISA: Οδηγός για προστασία δικτύων από τους Κινέζους hackers Salt Typhoon
You are receiving this email because you subscribed to this feed at https://blogtrottr.com?lctg=1169672
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz?lctg=1169672
IT Security News, Gadgets, Tweaks for Geeks and More
CISA: Οδηγός για προστασία δικτύων από τους Κινέζους hackers Salt Typhoon
https://www.secnews.gr/657424/cisa-odigos-prostasias-salt-typhoon/
Aug 28th 2025, 15:28
by Digital Fortress
Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA), σε συνεργασία με την NSA, το FBI και έναν συνασπισμό διεθνών εταίρων, έχει εκδώσει έναν οδηγό κυβερνοασφάλειας που περιγράφει μια εκτεταμένη κατασκοπευτική εκστρατεία από Κινέζους κρατικούς hackers.
Η 37σέλιδη αναφορά, με τίτλο "Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System", περιγράφει τις τακτικές, τεχνικές και διαδικασίες (TTPs) που χρησιμοποιούν αυτές οι προηγμένες απειλητικές ομάδες (APT) για να διεισδύσουν και να διατηρήσουν μακροχρόνια πρόσβαση σε τηλεπικοινωνιακές, κυβερνητικές, μεταφορικές και στρατιωτικές υποδομές.
Σύμφωνα με τον οδηγό, αυτοί οι κυβερνοεγκληματίες, που παρακολουθούνται με ονόματα όπως "Salt Typhoon" και "GhostEmperor", δραστηριοποιούνται τουλάχιστον από το 2021. Η επιχείρηση στοχεύει στην κλοπή δεδομένων που επιτρέπουν στις κινεζικές υπηρεσίες πληροφοριών να παρακολουθούν τις επικοινωνίες και τις κινήσεις των στόχων τους σε όλο τον κόσμο.
Δείτε επίσης: Κινέζοι hackers παραβιάζουν τηλεπικοινωνίες μέσω Cisco routers
Η CISA συνδέει ρητά τη δραστηριότητα με τρεις κινεζικές εταιρείες τεχνολογίας: Sichuan Juxinhe Network Technology Co. Ltd., Beijing Huanyu Tianqiong Information Technology Co. και Sichuan Zhixin Ruijie Network Technology Co. Ltd. Οι εταιρείες προσέφεραν κυβερνοπροϊόντα και υπηρεσίες στο Υπουργείο Εθνικής Ασφάλειας της Κίνας και στον Λαϊκό Απελευθερωτικό Στρατό της χώρας, επιτρέποντας τη διεξαγωγή κυβερνοκατασκοπείας.
Στοχεύοντας εξοπλισμό δικτύωσης
Ο οδηγός αναφέρει ότι οι επιτιθέμενοι έχουν καταγράψει «σημαντική επιτυχία» εκμεταλλευόμενοι γνωστά και επιδιορθωμένα κενά ασφαλείας σε συσκευές network edge αντί να βασίζονται σε zero-day επιθέσεις.
Αυτά τα κενά περιλαμβάνουν:
• CVE-2024-21887 (Ivanti Connect Secure command injection)
• CVE-2024-3400 (Palo Alto PAN-OS GlobalProtect RCE)
• CVE-2023-20273 και CVE-2023-20198 (Cisco IOS XE authentication bypass και privilege escalation)
• CVE-2018-0171 (Cisco Smart Install RCE)
Χρησιμοποιώντας αυτά τα κενά, οι επιτιθέμενοι αποκτούν πρόσβαση σε συσκευές routing και δικτύου, καταφέρνοντας να τροποποιήσουν καταλόγους ελέγχου πρόσβασης, να ενεργοποιήσουν το SSH σε μη τυπικές θύρες, να δημιουργήσουν GRE/IPsec tunnels και να εκμεταλλευτούν Cisco Guest Shell containers για να διατηρήσουν την παρουσία τους.
Καθώς πολλά από αυτά τα κενά έχουν διορθωθεί εδώ και καιρό, τόσο το NCSC όσο και η NSA προτρέπουν τους οργανισμούς να δώσουν προτεραιότητα στη διόρθωση αυτών των συσκευών.
Η CISA είχε προηγουμένως προειδοποιήσει ότι οι διαχειριστές πρέπει να απενεργοποιήσουν τη λειτουργία Cisco Smart Install (SMI) μετά την παρατήρηση κατάχρησής της σε επιθέσεις από Κινέζους και Ρώσους επιτιθέμενους.
Δείτε επίσης: Η ομάδα Salt Typhoon παραβίασε εταιρείες τηλεπικοινωνίας των ΗΠΑ
CISA, NSA, FBI: Συμβουλές προστασίας
Ο οδηγός αντιπροσωπεύει μια τεράστια διεθνή προσπάθεια, με συνεισφέρουσες υπηρεσίες από την Αυστραλία, τον Καναδά, το Ηνωμένο Βασίλειο, τη Νέα Ζηλανδία, τη Γερμανία, την Ιαπωνία, την Ιταλία και την Πολωνία, μεταξύ άλλων. Παρέχει λεπτομερείς οδηγίες για το κυνήγι απειλών, προτρέποντας τους οργανισμούς να παρακολουθούν για μη εξουσιοδοτημένες αλλαγές διαμόρφωσης, απροσδόκητα network tunnels (GRE, IPsec) και ύποπτη χρήση εργαλείων καταγραφής πακέτων. Επίσης, πρέπει να ελέγχουν τα virtualized containers στις συσκευές δικτύου για μη εξουσιοδοτημένη δραστηριότητα, να επαληθεύουν την ακεραιότητα του firmware και του λογισμικού και να εφαρμόζουν ισχυρή καταγραφή και προώθηση των αρχείων καταγραφής σε έναν ασφαλή, κεντρικό διακομιστή.
Οι στρατηγικές μετριασμού επικεντρώνονται στην ενίσχυση της υποδομής δικτύου. Οι συστάσεις περιλαμβάνουν την απενεργοποίηση μη χρησιμοποιούμενων θυρών και υπηρεσιών, την εφαρμογή αυστηρού management-plane isolation, την επιβολή ισχυρών, μοναδικών διαπιστευτηρίων και την απενεργοποίηση παλαιών πρωτοκόλλων όπως το Telnet και το SNMPv1/v2 υπέρ ασφαλών, σύγχρονων εναλλακτικών.
Η συμβουλευτική οδηγία λειτουργεί ως κρίσιμος πόρος για τους υπεύθυνους προστασίας δικτύων, παρέχοντας όχι μόνο στρατηγικές κατευθύνσεις αλλά και συγκεκριμένους δείκτες παραβίασης, όπως διευθύνσεις IP που χρησιμοποιούνται από τους δράστες και YARA rules για την ανίχνευση του προσαρμοσμένου κακόβουλου λογισμικού τους.
Η CISA και οι συνεργάτες της προτρέπουν έντονα τους οργανισμούς, ειδικά στον τομέα των τηλεπικοινωνιών, να χρησιμοποιήσουν τον οδηγό για να κυνηγήσουν προληπτικά κακόβουλες δραστηριότητες και να ενισχύσουν τις άμυνές τους έναντι αυτής της επίμονης παγκόσμιας απειλής.
Προηγούμενες επιθέσεις της Salt Typhoon
Οι νέες οδηγίες έρχονται μετά από χρόνια επιθέσεων της Salt Typhoon σε παρόχους τηλεπικοινωνιών και κυβερνητικούς φορείς.
Δείτε επίσης: ΗΠΑ: Οι Κινέζοι hackers Salt Typhoon παραβίασαν παρόχους υπηρεσιών Διαδικτύου
Η ομάδα είχε προηγουμένως παραβιάσει μεγάλους παρόχους τηλεπικοινωνιών των ΗΠΑ, όπως οι AT&T, Verizon και Lumen, αποκτώντας πρόσβαση σε ευαίσθητες επικοινωνίες όπως μηνύματα κειμένου, φωνητικά μηνύματα και συστήματα υποκλοπών των ΗΠΑ.
Αυτές οι παραβιάσεις ανάγκασαν την FCC να διατάξει τους παρόχους τηλεπικοινωνιών να ασφαλίσουν τα δίκτυά τους σύμφωνα με τον νόμο Communications Assistance for Law Enforcement Act (CALEA) και να υποβάλουν ετήσιες πιστοποιήσεις που επιβεβαιώνουν ότι διαθέτουν ένα ενημερωμένο σχέδιο διαχείρισης κινδύνων κυβερνοασφάλειας.
Η Salt Typhoon εκμεταλλεύτηκε επίσης μη επιδιορθωμένα κενά ασφαλείας του Cisco IOS XE για να εισχωρήσει σε περισσότερους παρόχους τηλεπικοινωνιών των ΗΠΑ και του Καναδά, όπου εγκατέστησε GRE tunnels για συνεχιζόμενη πρόσβαση.
Οι επιτιθέμενοι χρησιμοποίησαν, ακόμα, κακόβουλο λογισμικό γνωστό ως JumbledPath για να παρακολουθούν και να καταγράφουν το traffic από τα δίκτυα τηλεπικοινωνιών.
Εκτός από τις παραβιάσεις τηλεπικοινωνιών, η Salt Typhoon συνδέθηκε με μια παραβίαση δικτύου της Εθνοφρουράς των ΗΠΑ, κατά τη διάρκεια της οποίας έκλεψαν αρχεία ρυθμίσεων και διαπιστευτήρια διαχειριστή που θα μπορούσαν να χρησιμοποιηθούν για την παραβίαση άλλων κυβερνητικών δικτύων.
Πηγή: www.bleepingcomputer.com
© SecNews.gr - CISA: Οδηγός για προστασία δικτύων από τους Κινέζους hackers Salt Typhoon
You are receiving this email because you subscribed to this feed at https://blogtrottr.com?lctg=1169672
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz?lctg=1169672