ហេគឃ័រ Salt Typhoon ចិន នៅតែមានគោលដៅលើទូរគមនាគមន៍ពិភពលោក និងបានបំពានលើក្រុមហ៊ុនសេវាទូរគមនាគមន៍អាមេរិក តាមរយៈឧបករណ៍ណិតវើក Unpatch Cisco IOS XE។
ក្រុមស្រាវជ្រាវការគំរាមកំហែង Record Future’s Insikt Group ថ្លែងថា ក្រុមហេគឃ័រចិន (Tracked Salt Typhoon and RedMike) បានបំពានលើបញ្ហា CVE-2023-20198 ដែលជាការបង្កើនសិទ្ធិពិសេស និងបញ្ហា CVE-20-23-20273 ដែលជាភាពងាយរងគ្រោះនៃការចាក់បញ្ចូល Web UI Command។ ការវាយប្រហារទាំងនេះបានបណ្តាលឱ្យមានការបំពានលើក្រុមហ៊ុនផ្គត់ផ្គង់ទូរគមនាគមន៍ចម្រុះរួមមាន អ្នកផ្តល់សេវាអ៊ីនធឺណិតអាមេរិក (ISP) ក្រុមហ៊ុនផ្តល់សេវាទូរគមគមន៍អង់គ្លេសដែលមានមូលដ្ឋាននៅអាមេរិក ក្រុមហ៊ុនផ្តល់សេវាទូរគមគមន៍អាព្រិកខាងត្បូង ក្រុមហ៊ុនផ្តល់សេវាអ៊ីនធឺណិតអ៊ីតាលី ISP និងក្រុមហ៊ុនផ្តល់សេវាទូរគមគមន៍ថៃ។
អ្នកស្រាវជ្រាវការគំរាមកំហែងបានថ្លែងថា ពួកគេបានរកឃើញឧបករណ៍ត្រូវបានវាយប្រហារយកទៅគ្រប់គ្រង និងបានកំណត់ឧបករណ៍ Cisco នៅលើបណ្តាញណិតវើករបស់ពួកគេ ដែលទាក់ទងជាមួយម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយក្រុមហេគឃ័រ Salt Typhoon តាមរយៈ Generic Routing Encapsulation (GRE) Tunnels សម្រាប់ដំណើរការជាប់លាប់។ នៅចន្លោះខែធ្នូ ឆ្នាំ២០២៤ និងមករា ឆ្នាំ២០២៥ ក្រុម Salt Typhoon មានគោលដៅលើឧបករណ៍ណិតវើក Cisco មិនតិចជាង ១០០០ទេ នៅក្នុងនោះច្រើនជាងពាក់កណ្តាលនៅប្រទេសអាមេរិក អាមេរិកខាងត្បូង និងឥណ្ឌា។ ក្រុមស្រាវជ្រាវ Insikt Group ថ្លែងថា ការប្រើទិន្នន័យស្គេនអ៊ីនធឺណិត ក្រុម Insikt Group បានកំណត់ថាមិនតិចជាង ១២,០០០ នៃឧបករណ៍ណិតវើក Cisco ទេដែលបានលាតត្រដាង Web UIs នៅលើអ៊ីនធឺណិត។ ទោះជាយ៉ាងណា ឧបករណ៍ណិតវើក Cisco ជាង ១,០០០ បានក្លាយជាគោលដៅ ក្រុម Insikt Group និងបានវាយតម្លៃថា សកម្មភាពនេះទំនងជាត្រូវបានផ្តោត ព្រមទាំងបានប្រាប់ថាចំនួននេះតំណាងត្រឹមតែ ៨% នៃឧបករណ៍លាតត្រដាង និងថា RedMike ពាក់ព័ន្ធនឹងសកម្មភាពស៊ើបការណ៍តាមកាលកំណត់ ដែលជ្រើសរើសទាក់ទងនឹងអ្នកផ្គត់ផ្គង់ទូរគមនាគមន៍។
២ឆ្នាំមុន ភាពងាយរងគ្រោះចំនួន២ ត្រូវបានកេងចំណេញនៅក្នុងការវាយប្រហារ Zero-day ដែលបាន គ្រប់គ្រងលើឧបករណ៍ Cisco IOS XE មិនតិចជាង ៥០,០០០ទេ ដែលអនុញ្ញាតឱ្យមានការដាក់ពង្រាយមេរោគ Backdoor Malware តាមរយៈគណនីដែលមានសិទ្ធិបញ្ឆោត។ យោងតាម November Advisory ពី Five Eyes បានឱ្យដឹងថា បញ្ហាសុវត្ថិភាពទាំងនេះគឺស្ថិតនៅក្នុងចំណោមនៃការកេងចំណេញដ៏ពេញនិយមចំនួន៤ នៅក្នុងឆ្នាំ២០២៣។ ក្រុម Insikt Group ណែនាំអ្នកគ្រប់គ្រងណិតវើក (Network Admins) ដែលប្រតិបត្តិឧបករណ៍ណិតវើក Cisco IOS XE ដែលបានលាតត្រដាងនៅលើអ៊ីនធឺណិត ឱ្យ Patch សុវត្ថិភាពភ្លាមៗ និងជៀសវាងការលាតត្រដាង Administration Interfaces ឬសេវាមិនសំខាន់ដែលភ្ជាប់ទៅអ៊ីនធឺណិត។ អ្នកនាំពាក្យ Cisco បានប្រាប់ថា មកដល់បច្ចុប្បន្ន ក្រុមហ៊ុនមិនអាចផ្ទៀងផ្ទាត់ការអះអាងទាំងនេះបាន ប៉ុន្តែកំពុងបន្តពិនិត្យមើលទិន្នន័យដែលមាន។ នៅឆ្នាំ២០២៣ ក្រុមហ៊ុនបានចេញការណែនាំសុវត្ថិភាពដែលបង្ហាញពីភាពងាយរងគ្រោះទាំងនេះជាមួយការណែនាំសម្រាប់អតិថិជនឱ្យអនុវត្តដំណោះស្រាយកម្មវិធីដែលមានស្រាប់ជាបន្ទាន់។ ក្រុមហ៊ុនណែនាំអតិថិជនឱ្យ Patch ភាពងាយរងគ្រោះដែលស្គាល់ថា ត្រូវបានបង្ហាញជាសាធារណៈ និងអនុវត្តតាមក្រុមហ៊ុនដើម្បីការគ្រប់គ្រងសុវត្ថិភាព។ ការបំពានទាំងនេះជាផ្នែកមួយនៃយុទ្ធនាការដ៏ធំដែលបានបញ្ជាក់ដោយទីភ្នាក់ងារ FBI និង CISA កាលពីខែតុលា។ ការវាយប្រហារទាំងនេះ ក្រុមហេគឃ័ររដ្ឋចិនបានបំពានលើក្រុមហ៊ុនផ្គត់ផ្គង់ទូរគមនាគមន៍អាមេរិកចម្រុះ (រួមមាន AT&T, Verizon, Lumen, Charter Communications, Consolidated Communications និង Windstream) និងក្រុមហ៊ុនទូរគមនាគមន៍នៅក្នុងប្រទេសជាច្រើនទៀត។ ខណៈ ពួកគេបានចូលប្រើប្រាស់បណ្តាញណិតវើករបស់ក្រុមហ៊ុនទូរគមនាគមន៍អាមេរិក ពួកគេបានវាយប្រហារទៅលើ “ការទំនាក់ទំនងឯកជន” នៃមន្រ្តីរដ្ឋាភិបាលអាមេរិក និងបានចូលដំណើរការផ្លេតហ្វម Wiretapping របស់ការអនុវត្តច្បាប់អាមេរិក។ ក្រុមចារកម្មសាយប័រចិន Salt Typhoon (ឬក្រុម FamousSparrow, Ghost Emperor, Earth Estries និង UNC2286) បាននឹងកំពុងបំពានលើក្រុមហ៊ុនទូរគមនាគមន៍ រួមទាំងអង្គភាពរដ្ឋាភិបាលយ៉ាងហោចណាស់តាំងពីឆ្នាំ២០១៩ ។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៤ ខែកុម្ភៈ ឆ្នាំ២០២៥
