'RedMike' neemt telecom providers en universiteiten op de korrel

Het onderzoek van Insikt Group, gedetailleerd in hun recente rapport, onthult dat RedMike kwetsbaarheden in Cisco IOS XE software (CVE-2023-20198 en CVE-2023-20273) misbruikt om ongeautoriseerde toegang en root-privileges te verkrijgen. Eenmaal binnen, configureert de groep Generic Routing Encapsulation (GRE) tunnels voor persistente toegang en data-exfiltratie.

Slachtoffers van deze campagne zijn onder meer een Amerikaanse dochteronderneming van een Britse telecomprovider, een Zuid-Afrikaanse telecombedrijf, en diverse universiteiten wereldwijd, waaronder instellingen in Nederland (TU Delft), de VS (UCLA), Argentinië, Bangladesh, Indonesië, Maleisië, Mexico, Thailand en Vietnam. Het richten op universiteiten suggereert een interesse in onderzoek op het gebied van telecommunicatie, engineering en technologie.

Manipuleren

De aanhoudende activiteiten van RedMike, ondanks aanzienlijke media-aandacht en Amerikaanse sancties tegen entiteiten zoals Sichuan Juxinhe Network Technology Co., Ltd., onderstrepen de strategische inlichtingenbelangen achter deze operaties. Aanhoudende toegang tot kritieke communicatienetwerken stelt staatsgesteunde actoren in staat om vertrouwelijke gesprekken te monitoren, datastromen te manipuleren en diensten te verstoren tijdens geopolitieke conflicten.

Recorded Future benadrukt de noodzaak voor organisaties, met name in de telecommunicatiesector, om blootgestelde netwerkapparaten te beveiligen, strikte toegangscontroles te implementeren en te monitoren op ongeoorloofde configuratiewijzigingen. Ook wordt het gebruik van end-to-end versleutelde communicatiemethoden aanbevolen voor gevoelige informatie.

Lees hier het hele onderzoek (PDF).