De aan China gelinkte Salt Typhoon hackers hebben zeer recent bij veel meer telecomnetwerken en universiteiten ingebroken dan eerst gedacht. Onder meer de TU Delft was slachtoffer.

In oktober raakte bekend dat Salt Typhoon, ook bekend als RedMike, bij negen Amerikaanse telecomspelers, waaronder AT&T, Lumen en Verizon, kon binnendringen en zo toegang had tot communicatiedata en de locatie van gebruikers. Nu stelt een rapport dat er los van die negen nog eens zeven telecomspelers wereldwijd tot de slachtoffers behoren.

Volgens Insikt Group, de afdeling die dreigingen onderzoekt binnen cybersecuritybedrijf Recorded Future (een dochter van Mastercard), probeerde Salt Typhoon tussen december 2024 en januari dit jaar meer dan duizend Cisco-toestellen te misbruiken. Bij minstens zeven van hen lukte dat omdat ze niet gepatcht waren.

Daarbij werden twee kwetsbaarheden misbruikt, CVE-2023-20198 en CVE-2023-20273 die in 2023 al werden aangepakt door Cisco, waarbij het bedrijf destijds ook waarschuwde dat ze actief werden misbruikt.

Via de eerste kwetsbaarheid konden de daders privilleges krijgen bij de web userinterface ban Cisco IOS XE waardoor ze een lokale gebruikersaccount konden aanmaken. Met die lokale account konden ze vervolgens via de tweede kwetsbaarheid roottoegang krijgen op het toestel om zo een tunnel op te zetten met toegang tot het telecomnetwerk van het slachtoffer.

Operatoren en universiteiten

Eerder was al bekend dat negen Amerikaanse operatoren en overheidsnetwerken slachtoffer werden. Insikt zegt dat daar ook nog een extra Amerikaanse speler bij hoort, een Amerikaanse afdeling van een grote Britse telecomspeler, een Zuid-Afrikaanse telecomspeler, een grote Thaise operator en een Italiaanse provider, zonder namen te noemen.

Tegelijk zijn ook dertien universiteiten aangevallen in de VS, Argentinië, Bangladesh, Indonesië, Maleisië, Mexico, Thailand, Vietnam en Nederland. Al spreekt Insikt expliciet over ‘targeted’, wat suggereert dat die aanvallen niet zijn gelukt.

Formeel worden er geen namen genoemd, maar het cybersecuritybedrijf maakt wel een lijst van universiteiten die specifiek onderzoek doen naar telecom, engineering en technologie. Het noemt daarbij de Nederlandse TU Delft als een waarschijnlijk doelwit.

Op een kaart uit het rapport blijkt dat in meer dan honderd landen organisaties werden aangevallen. Ook in ons land zijn toestellen het doelwit geweest van Salt Typhoon, al gaat het om een zeer laag aantal toestellen en gaat het rapport niet verder in op pogingen bij Belgische organisaties. Dat lijkt erop te wijzen dat er geen succesvolle hacks hebben plaatsgevonden.