Hakerska grupa povezana sa Kinom, poznata kao Salt Typhoon, kompromitovala je backbone i edge rutere širom svijeta, čime je obezbijedila dugotrajan pristup mrežama u više industrija, uključujući telekomunikacije, vladu i vojsku, upozorile su američke i savezničke agencije.
Poznata i pod imenima GhostEmperor, Operator Panda, RedMike i UNC5807, ova grupa sprovodi sajber-špijunske operacije u SAD-u, Australiji, Kanadi, Novom Zelandu, Velikoj Britaniji i drugim regionima više od pola decenije.
Salt Typhoon je optužen za više upada u telekomunikacione kompanije u SAD-u i Kanadi, kao i za hakovanje jedinice američke Nacionalne garde. Prema navodima iz zajedničkog upozorenja, grupa od 2021. godine cilja globalne mreže vlade, telekoma, transporta, smještaja i vojske.
Operacije APT-a povezuju se sa kineskim kompanijama kao što su Sichuan Juxinhe Network Technology Co. Ltd. (pod sankcijama SAD-a), Beijing Huanyu Tianqiong Information Technology Co., Ltd. i Sichuan Zhixin Ruijie Network Technology Co., Ltd., poznatim po pružanju sajber proizvoda i usluga kineskoj obavještajnoj službi.
„Podaci ukradeni kroz ove aktivnosti protiv stranih telekomunikacionih i internet provajdera, kao i upadi u sektor transporta i smještaja, kineskim obavještajnim službama omogućavaju identifikaciju i praćenje komunikacija i kretanja meta širom svijeta“, navodi se u upozorenju.
Salt Typhoon je koristio poznate ranjivosti u proizvodima Cisco (CVE-2018-0171, CVE-2023-20198, CVE-2023-20273), Ivanti (CVE-2024-21887) i Palo Alto Networks (CVE-2024-3400) za inicijalni pristup, ali nije koristio zero-day ranjivosti. Grupa je kompromitovala backbone rutere kod telekom provajdera i edge rutere, bez obzira na vlasništvo, te ih koristila za dalji prodor u mreže, mijenjajući rutiranje i omogućavajući presretanje saobraćaja.
Za održavanje prisustva i izbjegavanje otkrivanja hakeri su manipulisali Access Control List (ACL) pravilima, otvarali standardne i nestandardne portove, kreirali tunele preko različitih protokola, koristili open source alate za višeslojno pivotiranje, mijenjali konfiguracije uređaja i izvršavali različite komande.
Za lateralno kretanje, grupa je ciljala autentifikacione protokole, interfejse rutera, RSVP sesije, BGP rute, konfiguracione fajlove, mrežni saobraćaj, instalirani softver i podatke kod provajdera, te je izvlačila kredencijale iz presretnutog saobraćaja.
Takođe, Salt Typhoon je mijenjao konfiguracije servera da upućuju na IP adrese pod njihovom kontrolom, kreirao privilegovane korisničke naloge, skenirao portove, koristio alate za nadzor, ažurirao tabele rutiranja, brisao logove i isključivao logovanje radi prikrivanja tragova, te zloupotrebljavao peering konekcije za eksfiltraciju podataka.
Agencije upozoravaju da Salt Typhoon ima dugotrajan i uporan pristup kompromitovanim mrežama i nude indikatore kompromitacije (IOC) i preporuke za istraživače prijetnji kako da identifikuju napade i uklone hakere.
„APT hakeri često preduzimaju korake da zaštite svoj pristup, poput kompromitovanja mejl servera ili administratorskih uređaja/naloga, kako bi nadzirali da li je njihova aktivnost otkrivena. Organizacije bi trebale zaštititi detalje svojih aktivnosti u vezi sa istraživanjem i odgovorom na incidente od praćenja od strane APT hakera“, navodi se u saopštenju.
Prema riječima Johna Hultquista, glavnog analitičara Google Threat Intelligence Group-a, hakeri se izdvajaju dubokim poznavanjem tehnologije, što im omogućava da izbjegnu otkrivanje i brzo šire napade, a u velikoj mjeri se oslanjaju na kineske kontraktore za sprovođenje operacija.
„Ekosistem kontraktora u srcu kineske sajber-špijunaže bio je ključan za brzu evoluciju ovih operacija i njihovo širenje do nezapamćenih razmjera. Kontraktori rade sve, od izgradnje infrastrukture do samih upada“, rekao je on.
U komentaru za medije, Nick Tausek, glavni arhitekta za automatizaciju bezbjednosti u Swimlane-u, naglasio je značaj korporativne podrške u operacijama Salt Typhoon-a, ističući da je hakerska grupa samo u 2024. godini ciljala stotine organizacija u 80 zemalja.
„Nažalost, to što razumijemo kako je došlo do napada ne znači da je prijetnja nestala. Salt Typhoon je i dalje jednako opasan, a kompanije moraju biti spremne. Organizacije bi trebalo da slijede smjernice NSA i u potpunosti razumiju nivo pristupa koji APT hakeri imaju prije nego što sprovedu vidljive akcije odgovora i mitigacije, kako bi povećale šansu za potpuno uklanjanje iz kompromitovanih mreža“, rekao je Tausek.
Izvor: SecurityWeek
