Sommario
Il Canadian Centre for Cyber Security e l’FBI hanno pubblicato un nuovo bollettino congiunto che segnala un’intensa attività di cyber spionaggio da parte di attori statali della Repubblica Popolare Cinese (PRC), identificati nel gruppo noto come Salt Typhoon. L’avviso, rivolto a operatori canadesi ma valido su scala globale, mette in evidenza come le aziende di telecomunicazioni, i loro fornitori e clienti siano oggi tra gli obiettivi più ambiti di queste campagne.
Target, tecniche e vulnerabilità sfruttate
Salt Typhoon, classificato come attore sponsorizzato dallo stato cinese, è stato collegato a una serie di compromissioni di dispositivi di rete, tra cui router, firewall e VPN, spesso attraverso l’exploit di vulnerabilità come la CVE-2023-20198. Nel caso recente, sono stati compromessi almeno tre apparati di un’azienda canadese delle telecomunicazioni, con estrazione delle configurazioni e attivazione di GRE tunnel per il monitoraggio del traffico. La compromissione consente sia la raccolta di dati interni sia l’uso dei dispositivi per ulteriori attacchi o ricognizione su altri target.
L’attività di Salt Typhoon è riconosciuta come parte di una campagna di cyber spionaggio internazionale che nel 2024 ha colpito anche operatori TSP statunitensi, portando al furto di dati delle chiamate e delle comunicazioni di individui coinvolti in attività governative e politiche. Questi attacchi puntano a ottenere accesso a informazioni di valore strategico, monitorare e geolocalizzare bersagli di alto profilo, sfruttando la posizione centrale delle aziende telecom nella raccolta e gestione dei dati sensibili.
Vettori d’attacco e priorità per la difesa
La principale metodologia individuata è la compromissione di edge devices – apparati che operano al confine della rete, come router e firewall – tramite vulnerabilità note o configurazioni deboli. Una volta all’interno della rete, l’attore può monitorare, modificare o esfiltrare il traffico e spostarsi lateralmente per colpire asset più critici o clienti dei fornitori compromessi. La campagna Salt Typhoon è particolarmente pericolosa per la capacità di eludere la detection e sfruttare la fiducia riposta nei fornitori di servizi gestiti (MSP) e cloud.
Raccomandazioni operative
Il bollettino invita tutte le organizzazioni – in particolare quelle attive nei settori telecomunicazioni e servizi critici – a rafforzare la sicurezza degli apparati di frontiera, adottare le best practice sulla gestione delle vulnerabilità, segmentare la rete e monitorare costantemente anomalie nel traffico. Sono disponibili linee guida dettagliate su mitigazioni specifiche, tra cui la guida CISA e i toolkit del Cyber Centre canadese.
