O grupo de hackers de origem chinesa, conhecido como Salt Typhoon, segue em operação após ganhar destaque com uma série de ataques a grandes empresas de telecomunicações em 2024. Desta vez, o foco está em roteadores Cisco, com o objetivo de obter acesso e controlar provedores de serviços em diversas regiões, incluindo os Estados Unidos e outros países. A nova onda de ataques foi detectada e analisada pela Recorded Future, que divulgou um relatório detalhado no dia 13 de janeiro de 2025.
Somente entre dezembro de 2024 e janeiro de 2025, o grupo conseguiu comprometer equipamentos de rede Cisco em pelo menos cinco operadoras de telecomunicações. Os alvos incluem provedores dos Estados Unidos, Reino Unido, África do Sul, Itália e Tailândia. Essa persistência demonstra que, apesar da ampla cobertura midiática sobre suas atividades e das sanções impostas pelos EUA, o Salt Typhoon continua a desafiar as autoridades cibernéticas e gestores de redes na proteção de infraestruturas críticas contra ataques patrocinados por estados.
Vulnerabilidades nos Roteadores Cisco
Segundo a pesquisa realizada pelo Recorded Future, o Salt Typhoon está explorando duas vulnerabilidades críticas no sistema operacional IOS XE dos roteadores Cisco:
- CVE-2023-20198: Falha de elevação de privilégios na interface web do IOS XE, que permite a um invasor criar uma nova conta de usuário local com privilégios administrativos, sem necessidade de autenticação prévia. Esta vulnerabilidade recebeu a pontuação máxima de 10 na escala CVSS.
- CVE-2023-20273: Essa vulnerabilidade, que está associada à primeira, permite a execução de comandos maliciosos no dispositivo comprometido com privilégios de root, caso a CVE-2023-20198 já tenha sido explorada. Com uma pontuação de 7,2 no CVSS, é igualmente preocupante.
Os pesquisadores apontam que o grupo hacker utiliza a CVE-2023-20198 para obter acesso inicial ao dispositivo, criando uma conta de usuário local com uma senha escolhida pelo invasor. Após essa etapa, a CVE-2023-20273 é explorada para elevar os privilégios ao nível root. Com o controle total do equipamento, o Salt Typhoon passa a reconfigurar o roteador, criando um túnel GRE (Generic Routing Encapsulation), conectando o dispositivo afetado à sua própria infraestrutura. Essa conexão permite acesso persistente e exfiltração de dados, reduzindo as chances de detecção por sistemas de monitoramento e firewalls.
Objetivo dos Hackers: Roubo de Dados Sensíveis
O interesse do Salt Typhoon em comprometer as redes de operadoras busca, principalmente, acesso a dados sensíveis que circulam por essas infraestruturas. Em ataques anteriores, o grupo conseguiu interceptar comunicações de figuras políticas importantes nos EUA, além de acessar plataformas utilizadas por agências de segurança para captação de dados. Ao se infiltrar nas redes das operadoras, hackers podem monitorar conversas confidenciais, manipular fluxos de dados e até interromper serviços em situações de conflitos geopolíticos.
O foco na espionagem, especialmente em relação a figuras políticas dos Estados Unidos, revela os objetivos estratégicos por trás dessas ações, representando uma ameaça significativa à segurança nacional. Jon Condra, diretor sênior de inteligência estratégica na Recorded Future, ressalta que a ação do grupo hacker é global: "Isso evidencia os requisitos estratégicos de inteligência chineses, que buscam acessar redes sensíveis para fins de espionagem e manipulação de dados em situações de crise".
Aumento no Número de Roteadores Vulneráveis
De acordo com a Recorded Future, mais de 12.000 roteadores Cisco possuem interfaces web expostas publicamente, indicando que o número de dispositivos vulneráveis é significativamente maior, apresentando novos alvos para o Salt Typhoon e outros grupos cibernéticos maliciosos. Durante o período de dezembro de 2024 a janeiro de 2025, o grupo tentou explorar mais de 1.000 dispositivos de rede Cisco em diversas partes do mundo. As tentativas concentraram-se principalmente em equipamentos localizados nos Estados Unidos, América do Sul e Índia, com tentativas também registradas em mais de 100 países ao redor do mundo.
Além dos provedores de telecomunicações, investigadores identificaram que 13 universidades em nações como Argentina, Indonésia, Países Baixos, EUA e Vietnã foram alvos potenciais, possivelmente devido à relevância de seus projetos em telecomunicações e tecnologia.
Medidas de Proteção Contra Ataques
Embora os ataques do Salt Typhoon estejam, em sua maior parte, direcionados a grandes operadoras de telecomunicações, é crucial que administradores de rede e usuários comuns adotem medidas de proteção. A prioridade deve ser a aplicação imediata das atualizações de segurança disponibilizadas pela Cisco, que corrigem as vulnerabilidades mencionadas anteriormente em todos os dispositivos que utilizam o sistema operacional IOS XE.
Adicionalmente, recomenda-se desabilitar o servidor HTTP em sistemas expostos à internet, ou restringir seu acesso a endereços IP confiáveis. Para isso, os administradores podem usar os comandos "no ip http server" ou "no ip http secure-server" no modo de configuração global do dispositivo. É fundamental que os responsáveis pela administração das redes mantenham uma vigilância constante sobre os logs do sistema, buscando por sinais de comprometimento, como a criação de novas contas de usuário não autorizadas ou atividades suspeitas na interface web.
