Un nuovo report di Recorded Future ha rivelato che il gruppo RedMike (Salt Typhoon), un’operazione di cyber spionaggio sponsorizzata dalla Cina, ha compromesso oltre 1.000 dispositivi Cisco vulnerabili appartenenti a fornitori di telecomunicazioni in tutto il mondo. L’attacco si è concentrato su dispositivi non aggiornati con sistema operativo Cisco IOS XE, sfruttando le vulnerabilità CVE-2023-20198 e CVE-2023-20273 per ottenere privilegi di amministratore e garantire accesso persistente ai sistemi.
RedMike ha compromesso reti in Stati Uniti, Regno Unito, Sudafrica e Italia, oltre a diverse università globali, tra cui UCLA e TU Delft, probabilmente per sottrarre dati di ricerca strategici nei settori delle telecomunicazioni e dell’ingegneria.
Attacco su scala globale: target e modalità operative
RedMike ha mirato ai dispositivi di fornitori di telecomunicazioni e istituti di ricerca, con obiettivi in:
- Stati Uniti (affiliati di provider britannici e statunitensi).
- Sudafrica (principali fornitori di telecomunicazioni).
- Italia (ISP compromessi).
- Thailandia (grandi aziende telco).
- Myanmar (ricognizione su Mytel, una delle principali telco locali).
- Università in Argentina, Bangladesh, Indonesia, Malesia, Messico, Paesi Bassi, Thailandia, Vietnam e Stati Uniti.
RedMike ha utilizzato un attacco in due fasi:
Accesso iniziale: sfruttando la vulnerabilità CVE-2023-20198 nel Web UI di Cisco IOS XE, gli hacker hanno ottenuto accesso come amministratori.
Persistenza: sfruttando CVE-2023-20273, il gruppo ha ottenuto il controllo completo del dispositivo e ha installato tunnel GRE (Generic Routing Encapsulation) per mantenere l’accesso e sottrarre dati in modo furtivo.
Perché l’attacco è così pericoloso?
Gli esperti di cybersecurity ritengono che questa campagna rappresenti una minaccia strategica globale, perché consente ai gruppi sponsorizzati dalla Cina di:
- Intercettare comunicazioni riservate tra aziende e governi.
- Manipolare il traffico dati per scopi di spionaggio.
- Compromettere infrastrutture critiche nel settore delle telecomunicazioni.
Questa tattica si inserisce in una più ampia strategia di espionage cyber-sponsorizzato dalla Cina, che negli ultimi anni ha preso di mira reti governative, aziende tecnologiche e istituti di ricerca per acquisire informazioni strategiche.
Sanzioni USA e contromisure
L’attività di RedMike non è passata inosservata:
Gli Stati Uniti hanno imposto sanzioni alla società cinese Sichuan Juxinhe Network Technology Co., Ltd., accusata di fornire infrastrutture e supporto al gruppo. Il Congresso USA e la CISA hanno emesso nuove direttive sulla protezione delle reti di telecomunicazioni, sottolineando l’importanza di utilizzare comunicazioni criptate end-to-end per ridurre il rischio di intercettazioni.
Gli esperti raccomandano agli amministratori di rete di:
- Applicare immediatamente le patch di sicurezza per le vulnerabilità CVE-2023-20198 e CVE-2023-20273.
- Monitorare le modifiche alla configurazione dei dispositivi per individuare attività sospette.
- Bloccare l’uso dei tunnel GRE non autorizzati per prevenire l’exfiltrazione di dati.
La guerra informatica è già iniziata
L’attacco di RedMike (Salt Typhoon) dimostra come le reti di telecomunicazioni globali siano un obiettivo strategico nella guerra cibernetica. Il fatto che oltre 1.000 dispositivi Cisco siano stati compromessi evidenzia la necessità di aggiornamenti costanti e difese avanzate per proteggere infrastrutture critiche.
Le azioni di Stati Uniti e alleati potrebbero rallentare questi attacchi, ma la battaglia tra cyber spie e difensori digitali è tutt’altro che finita.
