Státem podporovaní aktéři hrozeb z Pekingu pronikli do „několika“ amerických poskytovatelů internetových služeb (ISP) jako součást kampaně kybernetické špionáže zaměřené na získání citlivých informací, uvedl ve středu The Wall Street Journal. Aktivita byla připsána aktérovi hrozeb, kterého Microsoft sleduje pod názvem Salt Typhoon, známému také jako FamousSparrow a GhostEmperor.
„Vyšetřovatelé zkoumají, zda se útočníkům podařilo získat přístup k routerům Cisco Systems, klíčovým síťovým komponentům, které ovládají velkou část internetového provozu,“ uvedla publikace s odvoláním na osoby obeznámené s touto záležitostí. Konečným cílem útoků je získat trvalou oporu v cílových sítích, což umožňuje aktérům sklízet citlivá data nebo zahájit ničivý kybernetický útok.
GhostEmperor se poprvé dostal do povědomí v říjnu 2021, kdy ruská kybernetická bezpečnostní společnost Kaspersky podrobně popsala dlouhodobou operaci zaměřenou na cíle v jihovýchodní Asii s cílem nasadit rootkit jménem Demodex. Cíle kampaně zahrnovaly vysoce postavené organizace v Malajsii, Thajsku, Vietnamu a Indonésii, dále také v Egyptě, Etiopii a Afghánistánu.
Ještě v červenci 2024 společnost Sygnia odhalila, že nepojmenovaný klient byl v roce 2023 kompromitován aktérem hrozeb, aby infiltroval jednu z jeho partnerských sítí. „Během vyšetřování bylo zjištěno, že několik serverů, pracovních stanic a uživatelů bylo kompromitováno aktérem hrozeb, který nasadil různé nástroje pro komunikaci se sadou [command-and-control] serverů,“ uvedla společnost. „Jeden z těchto nástrojů byl identifikován jako varianta Demodexu.“
Tento vývoj přichází několik dní poté, co americká vláda oznámila, že narušila botnet s 260 000 zařízeními nazvaný Raptor Train, který ovládala jiná hackerská skupina spojená s Pekingem, známá jako Flax Typhoon. To také představuje nejnovější z řady čínských státem sponzorovaných snah zaměřit se na telekomunikace, ISP a další sektory kritické infrastruktury.
Zdroj: thehackernews.com