RedMike (Salt Typhoon) nutzt Schwachstellen in Cisco-Geräten globaler Telekommunikationsanbieter aus.
Executive Summary
Between December 2024 and January 2025, Recorded Future’s Insikt Group identified a campaign exploiting unpatched internet-facing Cisco network devices primarily associated with global telecommunications providers. Victim organizations included a United States-based affiliate of a United Kingdom-based telecommunications provider and a South African telecommunications provider. Insikt Group attributes this activity to the Chinese state-sponsored threat activity group tracked by Insikt Group as RedMike, which aligns with the Microsoft-named group Salt Typhoon. Using Recorded Future® Network Intelligence, Insikt Group observed RedMike target and exploit unpatched Cisco network devices vulnerable to CVE-2023-20198, a privilege escalation vulnerability found in the web user interface (UI) feature in Cisco IOS XE software, for initial access before exploiting an associated privilege escalation vulnerability, CVE-2023-20273, to gain root privileges. RedMike reconfigures the device, adding a generic routing encapsulation (GRE) tunnel for persistent access.
RedMike hat versucht, mehr als 1.000 Cisco-Geräte weltweit zu kompromittieren. Die Gruppe hat wahrscheinlich eine Liste von Zielgeräten zusammengestellt, die auf ihrer Verbindung mit den Netzwerken von Telekommunikationsanbietern basiert. Die Insikt Group beobachtete außerdem, dass RedMike Geräte ins Visier nahm, die mit Universitäten in Argentinien, Bangladesch, Indonesien, Malaysia, Mexiko, den Niederlanden, Thailand, den Vereinigten Staaten (USA) und Vietnam verbunden sind. RedMike hat möglicherweise diese Universitäten ins Visier genommen, um Zugang zu Forschung in Bereichen zu erhalten, die mit Telekommunikation, Ingenieurwesen und Technologie zu tun haben, insbesondere an Institutionen wie der UCLA und der TU Delft. Zusätzlich zu dieser Aktivität führte RedMike Mitte Dezember 2024 auch eine Erkundung mehrerer IP-Adressen durch, die einem in Myanmar ansässigen Telekommunikationsanbieter, Mytel, gehörten.
Ungepatchte, öffentlich zugängliche Appliances dienen als direkte Einstiegspunkte in die Infrastruktur eines Unternehmens. Raffinierte chinesische Bedrohungsgruppen sind in den letzten fünf Jahren stark dazu übergegangen, diese Geräte für den Erstzugriff zu nutzen. RedMikes Ausnutzung der Telekommunikationsinfrastruktur geht über technische Schwachstellen hinaus und stellt eine strategische Bedrohung für die Nachrichtendienste dar. Der dauerhafte Zugang zu kritischen Kommunikationsnetzwerken ermöglicht es staatlich unterstützten Bedrohungsakteuren, vertrauliche Gespräche zu überwachen, Datenströme zu manipulieren und Dienste während geopolitischer Konflikte zu unterbrechen. RedMikes Abzielen auf legale Abhörprogramme und US-Politiker verdeutlicht die strategischen nachrichtendienstlichen Ziele hinter diesen Operationen und die Bedrohung der nationalen Sicherheit, die sie darstellen.
Unternehmen, insbesondere solche in der Telekommunikationsbranche, müssen die Behebung von Sicherheitslücken in ihren Netzwerken priorisieren, da ungepatchte Systeme weiterhin ein wesentlicher Einstiegsvektor für chinesische staatlich gesponserte Bedrohungsaktivitäten sind. Netzwerkadministratoren sollten strenge Zugriffskontrollen implementieren, unnötige Web-UI-Exposition deaktivieren und nicht autorisierte Konfigurationsänderungen überwachen. Einzelpersonen sollten für vertrauliche Informationen durchgängig verschlüsselte Kommunikationsmethoden verwenden, wie es die Cybersecurity and Infrastructure Agency (CISA) und das Federal Bureau of Investigation (FBI) empfohlen haben, was entscheidend ist, um potenzielle Abhörrisiken zu mindern.
Darüber hinaus sollten Regierungen und Unternehmen im Bereich der Cybersicherheit den Austausch von Threat Intelligence verbessern und strengere gesetzliche Vorschriften zur Netzwerksicherheit durchsetzen. Die US-Sanktionen gegen das mit RedMike verbundene Unternehmen Sichuan Juxinhe Network Technology signalisieren eine entschlossenere Haltung gegenüber staatlich unterstützter Cyber-Spionage in kritischen Infrastrukturen. Eine robuste internationale Zusammenarbeit ist entscheidend, um diese anhaltenden Bedrohungen wirksam zu bekämpfen.
Wichtige Erkenntnisse
- Trotz erheblicher Medienberichterstattung und US-Sanktionen kompromittiert RedMike weiterhin weltweit Telekommunikationsanbieter, einschließlich in den USA.
- RedMike hat Cisco-Netzwerkgeräte eines in den USA ansässigen Tochterunternehmens eines britischen Telekommunikationsanbieters und eines südafrikanischen Telekommunikationsanbieters kompromittiert.
- RedMike exploited privilege escalation vulnerabilities CVE-2023-20198 and CVE-2023-20273 to compromise unpatched Cisco network devices running Cisco IOS XE software.
- Unter Verwendung von Recorded Future Network Intelligence identifizierte die Insikt Group, dass RedMike versuchte, über 1.000 Cisco-Netzwerkgeräte zwischen Dezember 2024 und Januar 2025 auszunutzen.
Hintergrund
Ende September 2024 berichteten Medien (1, 2), dass die vom chinesischen Staat gesponserte Gruppe Salt Typhoon die Netzwerke großer US-Telekommunikationsunternehmen kompromittiert hatte, darunter Verizon (1), AT&T und Lumen Technologies. Die Aktivität hat wahrscheinlich Telekommunikationsorganisationen weltweit betroffen, wobei einige Medien berichteten, dass Salt Typhoon mindestens 80 Organisationen kompromittiert hat. SaltTyphoon nutzte seinen Zugang zu Telekommunikationsanbietern, um US-rechtmäßige Abhörziele auszuspionieren und die Kommunikation bedeutender US-Politiker abzufangen. Die Auswirkungen der Eindringversuche von Salt Typhoon haben die höchsten Ebenen der US-Regierung erreicht: Cybersicherheitsexperten haben den US-Senat informiert, die CISA hat kürzlich Richtlinien zur Absicherung der Telekommunikationsinfrastruktur herausgegeben, und die CISA und das FBI haben eine gemeinsame Warnung herausgegeben, die zur Nutzung von verschlüsselten End-to-End-Messaging-Anwendungen für sensible Kommunikation ermutigt.
Insikt Group tracks Salt Typhoon-aligned activity as RedMike. Salt Typhoon is a group name given by Microsoft Threat Intelligence; at this time, Microsoft has not published publicly available technical details of the group's activity. The only public information Microsoft has shared confirms an overlap with two existing threat activity group names: GhostEmperor (Kaspersky) and FamousSparrow (ESET).
Am 17. Januar 2025 sanktionierte das Office of Foreign Assets Control (OFAC) des US-Finanzministeriums das in Sichuan ansässige Cybersicherheitsunternehmen Sichuan Juxinhe Network Technology Co., Ltd. wegen seiner direkten Beteiligung an der RedMike-Aktivität. Das OFAC erklärte, dass Sichuan Juxinhe Network Technology Co., Ltd. direkt an der Ausbeutung von US-amerikanischen Telekommunikations- und Internetdienstanbietern beteiligt war. Laut OFAC hat das chinesische Ministerium für Staatssicherheit (MSS) enge Beziehungen zu mehreren Unternehmen für die Ausnutzung von Computernetzwerken unterhalten, darunter Sichuan Juxinhe.
Technische Analyse
Ausnutzung der Cisco IOS XE-Web-Benutzeroberfläche
Using Recorded Future Network Intelligence, Insikt Group identified that since early December 2024, RedMike has attempted to exploit over 1,000 internet-facing Cisco network devices worldwide, primarily those associated with telecommunications providers, using a combination of two privilege escalation vulnerabilities: CVE-2023-20198 and CVE-2023-20273. When successfully compromised, the group uses the new privileged user account to change the device's configuration and adds a GRE tunnel for persistent access and data exfiltration.
The privilege escalation vulnerability CVE-2023-20198 was found in the Cisco IOS XE software web UI feature, version 16 and earlier, and published by Cisco in October 2023. Attackers exploit this vulnerability to gain initial access to the device and issue a privilege 15 command to create a local user and password. Following this, the attacker uses the new local account to access the device and exploits an associated privilege escalation vulnerability, CVE-2023-20273, to gain root user privileges.
Abbildung 1: RedMike Cisco network device exploitation infrastructure (Source: Recorded Future)
Mehr als die Hälfte der von RedMike angegriffenen Cisco-Geräte befanden sich in den USA, Südamerika und Indien. Die verbleibenden Geräte verteilten sich auf über 100 weitere Länder. Obwohl die ausgewählten Geräte hauptsächlich mit Telekommunikationsanbietern in Verbindung gebracht werden, waren dreizehn mit Universitäten in Argentinien, Bangladesch, Indonesien, Malaysia, Mexiko, den Niederlanden, Thailand, den USA und Vietnam verknüpft.
Universitäten, die häufig in der Spitzenforschung tätig sind, sind ein Hauptziel für chinesische, staatlich geförderte Bedrohungsaktivitätsgruppen, um wertvolle Forschungsdaten und geistiges Eigentum zu erlangen. Frühere Beispiele umfassen APT40, das Universitäten für biomedizinische, robotische und maritime Forschung ins Visier genommen hat; RedGolf (APT41) für medizinische Forschung, und RedBravo (APT31), das direkt Akademiker ins Visier genommen hat. Chinas Cyberstrategie steht im Einklang mit ihren umfassenderen wirtschaftlichen und militärischen Zielen und macht Universitäten zu hochrangigen Zielen für die langfristige Informationsbeschaffung und den Technologietransfer.
RedMike zielte möglicherweise auf die folgenden Universitäten ab, um Zugang zu Forschung in Bereichen wie Telekommunikation, Ingenieurwesen und Technologie zu erhalten, insbesondere an Institutionen wie UCLA und TU Delft.
- University of California, Los Angeles (UCLA) – USA
- California State University, Büro des Kanzlers (CENIC) — US
- Loyola Marymount University — USA
- Utah Tech University – USA
- Universidad de La Punta — Argentinien
- Islamic University of Technology (IUT) — Bangladesch
- Universitas Sebelas Maret — Indonesien
- Universitas Negeri Malang — Indonesien
- University of Malaya – Malaysia
- Universidad Nacional Autonoma — Mexiko
- Technische Universität Delft — Die Niederlande
- Sripatum University – Thailand
- Universität für Medizin und Pharmazie in Ho-Chi-Minh-Stadt – Vietnam
Figure 2: Geographical spread of Cisco devices targeted by RedMike (Source: Recorded Future)
RedMikes Scan- und Ausnutzungsaktivitäten wurden von Dezember 2024 bis Januar 2025 sechsmal festgestellt.
- 2024-12-04
- 2024-12-10
- 2024-12-17
- 2024-12-24
- 2025-01-13
- 2025-01-23
Netzwerkadministratoren, die ein Cisco-Netzwerkgerät mit einer dem Internet ausgesetzten IOS XE-Software-Web-UI betreiben, können die im Abschnitt Abhilfemaßnahmen genannten Daten und Ratschläge nutzen, um potenzielle RedMike-Ausbeutungsaktivitäten zu identifizieren.
Mithilfe von Internet-Scandaten identifizierte die Insikt Group mehr als 12.000 Cisco-Netzwerkgeräte, deren Web-Benutzeroberflächen dem Internet ausgesetzt waren. Obwohl über 1.000 Cisco-Geräte ins Visier genommen wurden, schätzt die Insikt Group, dass diese Aktivität wahrscheinlich gezielt war, da diese Zahl nur 8 % der exponierten Geräte ausmacht und RedMike regelmäßige Aufklärungsaktivitäten durchführte, bei denen Geräte ausgewählt wurden, die mit Telekommunikationsanbietern verbunden sind.
Geräte kompromittierter Telekommunikationsanbieter
Unter Verwendung von Recorded Future Network Intelligence hat die Insikt Group sieben kompromittierte Cisco-Netzwerkgeräte beobachtet, die mit der RedMike-Infrastruktur kommunizieren. Dazu gehören Geräte, die mit Folgendem assoziiert sind:
- Eine in den USA ansässige Tochtergesellschaft eines britischen Telekommunikationsanbieters
- Ein US-amerikanischer Internetdienstanbieter (ISP) und Telekommunikationsunternehmen
- Ein südafrikanischer Telekommunikationsanbieter
- Ein italienischer ISP
- Ein großer thailändischer Telekommunikationsanbieter
RedMike hat GRE-Tunnel zwischen den kompromittierten Cisco-Geräten und ihrer Infrastruktur konfiguriert. GRE ist ein Tunneling-Protokoll, das verwendet wird, um verschiedene Netzwerkprotokolle der Schicht in Punkt-zu-Punkt-Verbindungen zu kapseln. Es handelt sich um eine Standardfunktion, die auf Cisco-Netzwerkgeräten konfiguriert werden kann. Es wird häufig verwendet, um virtuelle private Netzwerke (VPNs) zu erstellen, die Interoperabilität zwischen verschiedenen Netzwerktypen zu ermöglichen und Multicast- oder Nicht-IP-Datenverkehr über IP-Netzwerke zu transportieren. Bedrohungsaktivitätsgruppen nutzen GRE-Tunnel, um ihre Persistenz aufrechtzuerhalten, indem sie verdeckte Kommunikationskanäle einrichten, die Firewalls und Intrusion Detection Systeme umgehen. Diese Tunnel erleichtern auch die heimliche Datenexfiltration, indem sie gestohlene Daten in GRE-Paketen verkapseln, wodurch sie möglicherweise die Netzwerküberwachung umgehen können.
Aufklärung über den myanmarische Telekommunikationsanbieter
Mitte Dezember 2024 führte RedMike von derselben Infrastruktur aus, die die Cisco-Netzwerkgeräte ausgenutzt hatte, eine Aufklärung gegen mehrere Infrastrukturressourcen des in Myanmar ansässigen Telekommunikationsanbieters Mytel durch, wahrscheinlich einschließlich ihres Unternehmens-Mailservers.
Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.
Verwandte Nachrichten & Forschung