Inledning
Den kinesiska statligt sponsrade hackergruppen RedMike, även känd som Salt Typhoon, har nyligen intensifierat sina attacker mot globala telekommunikationsleverantörer genom att utnyttja sårbarheter i Cisco-nätverksenheter. Trots tidigare exponering och sanktioner från USA fortsätter gruppen sina intrång, vilket utgör ett betydande hot mot den globala cybersäkerheten.
Bakgrund
Mellan december 2024 och januari 2025 identifierade Recorded Future’s Insikt Group en kampanj där RedMike utnyttjade ouppdaterade, internetanslutna Cisco-nätverksenheter. Bland de drabbade organisationerna fanns en USA-baserad filial till en stor brittisk telekommunikationsleverantör samt en sydafrikansk telekomleverantör.
RedMike utnyttjade specifikt två privilegieeskaleringssårbarheter: CVE-2023-20198 och CVE-2023-20273, båda relaterade till webbgränssnittet i Cisco IOS XE-programvaran. Genom att först få initial åtkomst via CVE-2023-20198 och därefter uppnå root-privilegier genom CVE-2023-20273 kunde gruppen omkonfigurera enheterna och lägga till en Generic Routing Encapsulation (GRE)-tunnel för att bibehålla persistent åtkomst.
Metoder och mål
RedMike har försökt utnyttja över 1 000 Cisco-enheter globalt, med särskilt fokus på enheter associerade med telekommunikationsleverantörers nätverk. Utöver telekomsektorn har gruppen även riktat in sig på universitet i länder som Argentina, Bangladesh, Indonesien, Malaysia, Mexiko, Nederländerna, Thailand, USA och Vietnam. Det antas att dessa universitet valdes ut för att komma åt forskning inom telekommunikation, ingenjörsvetenskap och teknik.
Exempelvis har institutioner som University of California, Los Angeles (UCLA) och Technische Universiteit Delft (TU Delft) pekats ut som potentiella mål.
Konsekvenser och rekommendationer
RedMikes utnyttjande av sårbarheter i telekommunikationsinfrastruktur innebär mer än bara tekniska risker; det representerar ett strategiskt hot mot underrättelseverksamhet. Genom persistent åtkomst till kritiska kommunikationsnätverk kan statligt sponsrade aktörer övervaka konfidentiella samtal, manipulera dataflöden och störa tjänster under geopolitiska konflikter.
För att motverka dessa hot bör organisationer, särskilt inom telekomsektorn, prioritera uppdatering av exponerade nätverksenheter. Nätverksadministratörer rekommenderas att implementera strikta åtkomstkontroller, inaktivera onödiga webbgränssnitt och övervaka för obehöriga konfigurationsändringar.
Dessutom bör individer använda end-to-end-krypterade kommunikationsmetoder för känslig information, i enlighet med rekommendationer från Cybersecurity and Infrastructure Security Agency (CISA) och Federal Bureau of Investigation (FBI).
Sammanfattning
Trots omfattande mediebevakning och sanktioner fortsätter RedMike sina attacker mot globala telekommunikationsleverantörer genom att utnyttja sårbarheter i Cisco-nätverksenheter. Detta understryker behovet av proaktiva säkerhetsåtgärder och internationellt samarbete för att effektivt motverka dessa ihållande hot.
Källförteckning
• Recorded Future – RedMike (Salt Typhoon) Exploits Vulnerable Cisco Devices
• Recorded Future – Cyber Threat Analysis Report
• Cisco Security Advisory – Cisco IOS XE Web UI Privilege Escalation Vulnerability
• CISA – Guidance Addressing Cisco IOS XE Web UI Vulnerabilities
• U.S. Department of the Treasury – Sanctions on Sichuan Juxinhe Network Technology Co., Ltd.