El actor renovador de amenaza persistente (apt) de China conocido como conocido como Tifón de sal ha continuado sus ataques dirigidos a redes en todo el mundo, incluidas las organizaciones en los sectores de telecomunicaciones, gobierno, transporte, alojamiento e infraestructura marcial.
“Si perfectamente estos actores se centran en los enrutadores de la columna vertebral grandes de los principales proveedores de telecomunicaciones, así como en los enrutadores del proveedor Edge (PE) y el Edge (CE) del cliente, todavía aprovechan los dispositivos comprometidos y las conexiones confiables para pivotar en otras redes”, según un asesoramiento de cybersity conjunto publicado el miércoles. “Estos actores a menudo modifican los enrutadores para sustentar el ataque persistente a espacioso plazo a las redes”.
El boletín, cortesía de las autoridades de 13 países, dijo que la actividad maliciosa se ha vinculado a tres entidades chinas, Sichuan Juxinhe Network Technology Co., Ltd., Beijing Huanyu Tianqiong Information Technology Co., Ltd. y Sichuan Zhixin Ruijie Network Technology Co., Ltd..
Estas compañías, según las agencias, proporcionan productos y servicios cibernéticos a los servicios de inteligencia de China, con los datos robados de las intrusiones, específicamente aquellos en contra de las telecomunicaciones y los proveedores de servicios de Internet (ISP), proporcionando a Beijing la capacidad de identificar y rastrear las comunicaciones y movimientos de sus objetivos a nivel mundial.
Los países que han seleccionado el asesoramiento de seguridad incluyen Australia, Canadá, la República Checa, Finlandia, Alemania, Italia, Japón, los Países Bajos, Nueva Zelanda, Polonia, España, el Reino Unido y los Estados Unidos.
Brett Leatherman, jerarca de la División Cibernética de la Oficina Federal de Investigación de EE. UU., Dijo que el Rama de Typhoon de Salt ha estado activo desde al menos 2019, participando en una campaña de espionaje persistente destinada a “incumplir las normas de seguridad y privacidad total de telecomunicaciones”.
En una alerta independiente emitida hoy, los servicios holandeses de inteligencia y seguridad Mivd y Aivd dijeron que las organizaciones en el país “no recibieron el mismo punto de atención de los piratas informáticos de tifones de sal que los de los Estados Unidos”, los actores de amenaza obtuvieron ataque a enrutadores de ISP y proveedores de alojamiento más pequeños. Sin incautación, no hay evidencia de que los piratas informáticos penetraran aún más estas redes.
“Desde al menos 2021, esta actividad ha dirigido a las organizaciones en sectores críticos, incluidos el gobierno, las telecomunicaciones, el transporte, el alojamiento e infraestructura marcial a nivel mundial, con un especie de actividad observado en el Reino Unido”, dijo el Centro Doméstico de Seguridad Cibernética.
Según el Wall Street Journal y el Washington Post, el equipo de piratería ha ampliado su enfoque de orientación a otros sectores y regiones, atacando no menos de 600 organizaciones, incluidas 200 en los Estados Unidos y 80 países.
https://www.youtube.com/watch?v=drnmky4-0xo
Salt Typhoon, which overlaps with activity tracked as GhostEmperor, Operator Panda, RedMike, and UNC5807, has been observed obtaining initial access through the exploitation of exposed network edge devices from Cisco (CVE-2018-0171, CVE-2023-20198, and CVE-2023-20273), Ivanti (CVE-2023-46805 and CVE-2024-21887) y Palo Suspensión Networks (CVE-2024-3400).
“Los actores APT pueden dirigirse a dispositivos de borde independientemente de quién posee un dispositivo en particular”, señalaron las agencias. “Los dispositivos propiedad de entidades que no se alinean con los objetivos centrales de interés de los actores todavía presentan oportunidades para su uso en las vías de ataque en objetivos de interés”.
Los dispositivos comprometidos se aprovechan para pivotar en otras redes, en algunos casos incluso modificando la configuración del dispositivo y agregando un túnel de encapsulación de enrutamiento genérico (GRE) para ataque persistente y exfiltración de datos.
El ataque persistente a las redes de destino se logra alterando las listas de control de ataque (ACL) para sumar direcciones IP bajo su control, desobstruir puertos tipificado y no tipificado, y ejecutar comandos en un contenedor de Linux en caja en los dispositivos de redes Cisco compatibles a las herramientas de marco, procesar datos localmente y moverse lateralmente en el interior del entorno.
Los atacantes todavía se ponen en uso por los protocolos de autenticación como el Sistema de control de ataque al regulador de ataque terminal (TACACS+) para permitir que el movimiento fronterizo a través de los dispositivos de red, al tiempo que realiza amplias acciones de descubrimiento y capturan el tráfico de red que contiene credenciales a través de enrutadores comprometidos para excavar las redes.
“Los actores APT recolectaron PCAP utilizando herramientas nativas en el sistema comprometido, con el objetivo principal probablemente capturar TACACS+ tráfico a través del puerto 49 de TCP”, dijeron las agencias. “El tráfico TACACS+ se utiliza para la autenticación, a menudo para la dependencia de equipos de red e incluyendo cuentas y credenciales de los administradores de red mucho privilegiados, lo que probablemente permite a los actores comprometer cuentas adicionales y realizar movimientos laterales”.
Encima de eso, Salt Typhoon se ha observado que permite que el servicio SSHD_OPERNS en dispositivos Cisco IOS XR cree un agraciado tópico y le otorgue privilegios de sudo para obtener raíz en el sistema eficaz host a posteriori de iniciar sesión a través de TCP/57722.
Mandiant, propiedad de Google, que fue uno de los muchos socios de la industria que contribuyó al asesoramiento, declaró que la intimidad del actor de amenaza con los sistemas de telecomunicaciones les ofrece una preeminencia única, dándoles una preeminencia cuando se manejo de distracción de defensa.
“Un ecosistema de contratistas, académicos y otros facilitadores está en el corazón del ciber espionaje chino”, dijo John Hultquist, analista jerarca del Rama de Inteligencia de Amenazos de Google, a The Hacker News. Los contratistas se utilizan para crear herramientas y exploits valiosos, así como para resistir a punta el trabajo desaliñado de operaciones de intrusión. Han sido fundamentales en la rápida proceso de estas operaciones y las cultivando a una escalera sin precedentes “.
“Encima de dirigirse a las telecomunicaciones, la orientación informada de la hospitalidad y el transporte por parte de este actor podría estar de moda para guardar de cerca a las personas. Se puede utilizar información de estos sectores para desarrollar una imagen completa de con quién está hablando cualquiera, dónde están y en torno a dónde van”.
