对于这起攻击行动的范围,Recorded Future看到骇客对全球超过1千台网路设备试图发动攻击,这些设备遍布超过100个国家,但有超过半数位于美国、南美洲及印度。由于全球有1.2万台思科设备的网页管理介面曝露于网际网路,骇客仅对于其中8%发动攻击,这样的情况显然是针对性的攻击行动。
不光是电信业者,骇客也攻击阿根廷、孟加拉、印尼、墨西哥、荷兰、泰国、美国、越南大学的思科设备,这些设备隶属电信、工程、科技相关的研究机构。
研究人员根据掌握的威胁情报,确认至少有7台与电信业者有关的思科装置,与骇客的基础设施进行通讯,这些装置的所有者包含:英国电信业者美国分公司、美国网际网路服务供应商(ISP)暨电信业者、南非电信业者、义大利网际网路服务供应商、泰国电信业者。
但这种针对面向网际网路设备并利用尚未修补的已知弱点而来的攻击行动,已进行了一段时间。研究人员提及,Salt Typhoon借此取得受害组织的初始入侵管道,至少超过5年,而能够持续于电信网路环境监控机密通讯内容、操纵资料流,甚至在政治或军事冲突发生的时候中断服务。