Rozvoj internetu a kybernetického připojení vedl v posledních letech k nárůstu hrozby hackerských útoků. Příkladem mohou být výsledky skupiny Lazarus, severokorejské kyberzločinecké organizace, která stojí za řadou kriminálních činů. Samotná Severní Korea je ve skutečnosti jednou z nejplodnějších zemí, pokud jde o hackerské útoky, a v mnoha příbězích se objevují metody jejích nejúčinnějších organizovaných skupin.
Tentokrát se zaměřujeme na Salt Typhoon, hackerskou skupinu údajně sponzorovanou čínskou vládou. Podařilo se jim kompromitovat telekomunikační společnost v Kanadě v důsledku kritické zranitelnosti (CVE-2023-20198) v zařízeních Cisco. Ve skutečnosti byla sice opravena v říjnu 2023, ale zneužita byla v únoru 2023.
Výsledkem bylo, že hackeři díky povoleným funkcím HTTP nebo HTTPS využili více než 10 000 zařízení Cisco, jako jsou směrovače, přepínače nebo řadiče bezdrátových sítí LAN.
Související článek
Dopad čínského hackerského útoku na Kanadu
Vzhledem k tomu, že se nejednalo o novou chybu, ale o již dříve nahlášený problém, měli hackeři snadnější vstupní bod než obvykle. Ve skutečnosti to není poprvé, co byl Salt Typhoon aktivní na severoamerické půdě, v roce 2024 již napadl společnosti jako Verizon a AT&T v USA. Díky tomu získali přístup k legálním odposlechovým systémům a následně k datům a informacím souvisejícím s internetovým provozem.
Kromě zranitelnosti CVE-2023-20198 využívali i další starší chyby, například CVE-2024-20399, která byla opravena v listopadu 2024. V důsledku své činnosti hackeři upravili konfigurační soubory a vytvořili tunel GRE (protokol pro zapouzdření datových paketů pro vytvoření virtuálního spojení mezi dvěma body), přičemž obojí využili ke sběru síťového provozu. Jedná se bezpochyby o jeden z nejvýznamnějších počítačových útoků posledních týdnů.
Kanadské centrum kybernetické bezpečnosti v návaznosti na tento útok potvrdilo existenci útoku, který zasáhl několik národních společností. Upozornilo také, že útok se neomezuje pouze na telekomunikace, ale existuje podezření, že zasáhl i další odvětví a měl dokonce přístup do interních sítí. Vzhledem k tomu, že záplata je k dispozici od října 2023, byla nečinnost některých společností považována za závažné narušení bezpečnosti.
Bezpečnostní a preventivní opatření
Pro zmírnění těchto hrozeb je zásadní, aby společnosti udržovaly své systémy aktuální a aplikovaly bezpečnostní záplaty, jakmile jsou k dispozici. Kromě toho může k ochraně sítí před podobnými útoky přispět zavedení vícevrstvé bezpečnostní strategie zahrnující firewally, systémy detekce narušení a vícefaktorovou autentizaci. Pro prevenci incidentů je také nezbytné neustálé vzdělávání a školení personálu v oblasti kybernetické bezpečnosti.
Kanadská vláda vyzvala podniky k úzké spolupráci s úřady s cílem zlepšit kybernetickou odolnost země. Pro řešení globální hrozby, kterou představují státem sponzorované hackerské skupiny, je zásadní také mezinárodní spolupráce.