Danska je podigla nivo prijetnje od cyber špijunaže za svoj telekomunikacioni sektor sa srednjeg na visoki zbog rastućih prijetnji širom Evrope.
Danska agencija za socijalnu sigurnost objavila je novu procjenu prijetnje za cyber prijetnje u telekomunikacionom sektoru, koja naglašava rizike za telekomunikacione kompanije u Evropi.
“U ovoj procjeni prijetnji, Danska agencija za socijalnu sigurnost podiže nivo prijetnje od cyber špijunaže protiv danskog telekomunikacionog sektora na VISOK. To je zato što se obim cyber špijunaže protiv telekomunikacionog sektora u Evropi vjerovatno povećao”, navodi se u procjeni prijetnje. “Danski telekomunikacioni i internet provajderi zbog toga moraju biti svjesni pokušaja cyber napada od strane državnih hakera.”
Telekomunikacioni sektor Danske suočava se s višestrukim cyber prijetnjama: špijunažom, destruktivnim napadima (SREDNJI), sajber aktivizmom (VISOK) i kriminalnim hakerima (VEOMA VISOK), uključujući ransomware.
Državni hakeri ciljaju telekom provajdere radi cyber špijunaže kako bi pristupili korisničkim podacima, pratili komunikacije i potencijalno pokrenuli cyber ili fizičke napade.
Procjena upozorava da državni hakeri imaju opsežno tehničko razumijevanje infrastrukture i protokola telekomunikacionog sektora tokom cyber napada na ovu industriju u inostranstvu.
Neki hakeri su pokazali napredno tehničko razumijevanje infrastrukture i protokola telekomunikacionog sektora tokom cyber napada na industriju u inostranstvu.
“Na primjer, firma za cyber bezbjednost CrowdStrike opisala je kako su hakeri sponzorisani od strane države kompromitovali telekom provajdere i koristili malver specifičan za telekomunikacije i protokole, kao što je GTP, kako bi kontrolisali i komunicirali sa kompromitovanim sistemima. Kao rezultat toga, upotreba Windows sistema bila je svedena na minimum”, navodi se u procjeni. “Ovi primjeri pokazuju da neki cyber hakeri posjeduju napredne tehničke sposobnosti koje mogu primijeniti ako smatraju da je to korisno u određenoj situaciji.”
Danska je izdala prvo javno evropsko upozorenje o kineskoj špijunskoj kampanji, poznatoj kao Salt Typhoon, iako Danska agencija za socijalnu sigurnost nije eksplicitno imenovala Kinu. SAD je ranije obavjestio da su evropske mete bile kompromitovane.
U februaru 2025. istraživači Cisco Talosa izvijestili su da kineska APT grupa Salt Typhoon koristi prilagođeni alat nazvan JumbledPath za špijuniranje mrežnog saobraćaja američkih telekomunikacionih provajdera. Grupa Salt Typhoon (poznata i kao FamousSparrow i GhostEmperor) aktivna je od najmanje 2019. godine i ciljala je vladine entitete i telekom kompanije.
Grupa povezana s Kinom i dalje cilja telekomunikacione provajdere širom svijeta, a prema izvještaju Insikt Group-a, prijetnja je kompromitovala više američkih telekom provajdera iskorištavajući neispravljene Cisco IOS XE mrežne uređaje.
Istraživači Insikt Group-a izvijestili su da su kineski hakeri iskoristili dvije Cisco ranjivosti, označene kao CVE-2023-20198 i CVE-2023-20273.
Napadi su kompromitovali više telekomunikacionih mreža, uključujući provajdere internet usluga (ISP) u SAD-u i Italiji, američko-britanski telekom provajder i provajdere u Južnoj Africi i Tajlandu.
Prijetnja je koristila generičke tunelske protokole za rutiranje (GRE) na kompromitovanim Cisco uređajima kako bi održala prisustvo, izbjegla detekciju i neprimjetno izvukla podatke enkapsulirajući ih unutar GRE paketa.
Istraživači Cisco Talosa dodali su da je Salt Typhoon kompromitovao velike američke telekom kompanije više od tri godine, uglavnom koristeći ukradene pristupne podatke, uz ograničenu eksploataciju ranjivosti.
U decembru 2024. godine istraživači su primijetili da grupa Salt Typhoon izvodi izviđanje protiv više infrastrukturnih objekata koje upravlja telekomunikacioni provajder Mytel sa sjedištem u Mjanmaru.
U januaru je The Wall Street Journal izvijestio da je kineska cyber špijunska grupa Salt Typhoon ciljala više američkih telekoma nego što se ranije znalo.
Salt Typhoon hakerska kampanja, aktivna 1-2 godine, ciljala je telekomunikacione provajdere u nekoliko desetina zemalja, prema izvoru iz SAD-a.
U decembru je Lumen objavio da je APT grupa Salt Typhoon isključena iz njihove mreže. Kompanija je dodala da nije svjesna bilo kakvog curenja podataka.
U martu 2024. godine istraživač HaxRob otkrio je ranije neotkriveni Linux backdoor nazvan GTPDOOR, posebno dizajnisan za izvođenje prikrivenih cyber operacija unutar mobilnih mreža provajdera. HaxRob povezuje GTPDOOR sa kineskom APT grupom Light Basin (poznatom i kao UNC1945).
Grupa Light Basin ciljala je i kompromitovala mobilne telefonske mreže širom svijeta koristeći specijalizovane alate za pristup zapisima poziva i tekstualnim porukama iz telekomunikacionih kompanija.
CrowdStrike istraživači su izvijestili da je najmanje 13 telekomunikacionih kompanija bilo kompromitovano od 2019. godine.
CrowdStrike je otkrio kampanju u oktobru 2021. godine nakon istrage niza bezbjednosnih incidenata u više zemalja. Kompanija je dodala da prijetnja pokazuje duboko razumijevanje arhitekture telekomunikacionih mreža.
Izvor:CyWare
