Hacker cinesi spiano reti USA con malware personalizzato

Un nuovo rapporto della sicurezza informatica ha rivelato che un gruppo di hacker cinesi, conosciuto come Salt Typhoon, ha intensificato gli attacchi contro le reti di telecomunicazioni statunitensi utilizzando un software malevolo personalizzato chiamato JumbledPath. Questo malware è stato progettato per monitorare il traffico di rete e sottrarre informazioni sensibili, compromettendo le comunicazioni di diversi fornitori di telecomunicazioni negli Stati Uniti, tra cui Verizon, AT&T, T-Mobile e Lumen Technologies.

Salt Typhoon è un gruppo molto sofisticato, attivo almeno dal 2019, con l’obiettivo principale di compromettere entità governative e aziende nel settore delle telecomunicazioni. Le indagini hanno rivelato che, oltre a violare le reti di telecomunicazioni, gli hacker sono riusciti a intercettare comunicazioni private di funzionari governativi statunitensi, riuscendo anche a rubare informazioni relative a richieste di intercettazioni telefoniche.

Recentemente, gli attacchi hanno preso di mira oltre 1.000 dispositivi Cisco, tra cui più della metà provenienti da Stati Uniti, Sud America e India. La tecnica di infiltrazione di Salt Typhoon si basa principalmente sull’uso di credenziali rubate, che hanno permesso al gruppo di accedere alle reti di telecomunicazioni.

Sfruttata vulnerabilità di Cisco

Anche se in alcuni casi è stata sfruttata una vulnerabilità specifica di Cisco, la campagna di hacking si è concentrata sull’utilizzo di metodi tradizionali, come il furto di credenziali da dispositivi di rete. Una volta dentro le reti, gli hacker hanno usato queste credenziali per espandere il loro accesso, estraendo informazioni sensibili e rubando configurazioni di dispositivi tramite TFTP e FTP.

Il malware JumbledPath, che è alla base degli attacchi, è stato progettato per raccogliere pacchetti di dati attraverso strumenti come Tcpdump e Tpacap. Questo malware permette agli hacker di nascondere la loro posizione e di mascherare l'origine delle loro richieste. Inoltre, JumbledPath è in grado di disabilitare i registri di sistema, rendendo più difficile il rilevamento delle attività malevole.

Cisco ha emesso una serie di raccomandazioni per contrastare queste minacce, come il monitoraggio delle attività SSH non autorizzate e l’ispezione di anomalie nei registri. Gli esperti avvertono che l'uso crescente di malware personalizzati e l’accesso alle reti tramite credenziali rubate sono fenomeni in espansione, richiedendo una vigilanza costante da parte degli amministratori di rete per proteggere i sistemi.