De China-gekoppelde Advanced Persistente Threat (APT) -acteur bekend als Zouttyfoon heeft zijn aanvallen voortgezet op netwerken over de hele wereld, waaronder organisaties in de telecommunicatie, overheid, transport, accommodatie en militaire infrastructuursector.
“Hoewel deze actoren zich richten op grote backbone -routers van grote telecommunicatieproviders, evenals provider Edge (PE) en Customer Edge (CE) routers, gebruiken ze ook gecompromitteerde apparaten en vertrouwde verbindingen om naar andere netwerken te draaien,” volgens een gezamenlijke cybersecurity -advies gepubliceerd woensdag. “Deze actoren wijzigen vaak routers om aanhoudende, langetermijntoegang tot netwerken te handhaven.”
Het bulletin, met dank aan autoriteiten uit 13 landen, zei dat de kwaadaardige activiteit is gekoppeld aan drie Chinese entiteiten, Sichuan Juxinhe Network Technology Co., Ltd., Beijing Huanyu Tianqiong Information Technology Co., Ltd. en Sichuan Zhixin Ruijie Network Technology Co., Ltd.
Deze bedrijven, aldus de agentschappen, bieden cybergerelateerde producten en diensten aan de Chinese inlichtingendiensten, met de gegevens die zijn gestolen uit de indringers, met name die tegen telecom- en internetproviders (ISP’s), die Beijing de mogelijkheid bieden om de communicatie en bewegingen van hun doelen te identificeren en te volgen.
De landen die mede-aflevering van het veiligheidsadvies zijn onder meer Australië, Canada, de Tsjechische Republiek, Finland, Duitsland, Italië, Japan, Nederland, Nieuw-Zeeland, Polen, Spanje, het VK en de VS
Brett Leatherman, hoofd van de Cyber Division van het US Federal Bureau of Investigation, zei dat de Salt Typhoon Group sinds minstens 2019 actief is, en een aanhoudende spionagecampagne bezighoudt met “het overtreden van wereldwijde telecommunicatie -privacy- en beveiligingsnormen”.
In een op zichzelf staande alert die vandaag is uitgegeven, zeiden Nederlandse inlichtingen- en beveiligingsdiensten MIVD en AIVD terwijl organisaties in het land ‘niet dezelfde mate van aandacht kregen van de zouttyfoonhackers als die in de VS’, de dreigingsactoren kregen toegang tot routers van kleinere ISP’s en hostingaanbieders. Er is echter geen bewijs dat de hackers deze netwerken verder hebben doorgedrongen.
“Sinds ten minste 2021 heeft deze activiteit gericht op organisaties in kritieke sectoren, waaronder overheid, telecommunicatie, transport, accommodatie en militaire infrastructuur wereldwijd, met een cluster van activiteiten die in het VK werden waargenomen,” zei het National Cyber Security Center.
Volgens de Wall Street Journal en de Washington Post heeft de hackingploeg zijn targetingfocus uitgebreid naar andere sectoren en regio’s, waarbij ze niet minder dan 600 organisaties aanvallen, waaronder 200 in de VS en 80 landen.
https://www.youtube.com/watch?v=drnmky4-0xo
Salt Typhoon, which overlaps with activity tracked as GhostEmperor, Operator Panda, RedMike, and UNC5807, has been observed obtaining initial access through the exploitation of exposed network edge devices from Cisco (CVE-2018-0171, CVE-2023-20198, and CVE-2023-20273), Ivanti (CVE-2023-46805 and CVE-2024-21887) en Palo Alto Networks (CVE-2024-3400).
“De APT -acteurs kunnen richtapparaten richten, ongeacht wie een bepaald apparaat bezit,” merkten de agentschappen op. “Apparaten die eigendom zijn van entiteiten die niet in overeenstemming zijn met de kerndoelen van de acteurs, bieden nog steeds mogelijkheden voor gebruik in aanvalspaden in interessante doelen.”
De gecompromitteerde apparaten worden vervolgens gebruikt om in andere netwerken te draaien, in sommige gevallen zelfs de configuratie van het apparaat aan te passen en een generieke routing -encapsulatie (GRE) -tunnel toe te voegen voor persistente toegang en gegevensuitbreiding.
Aanhoudende toegang tot doelwetwerken wordt bereikt door toegangscontrolelijsten (ACL’s) te wijzigen om IP-adressen toe te voegen onder hun besturingselement, standaard- en niet-standaardpoorten te openen en commando’s uit te voeren in een on-box Linux-container op ondersteunde Cisco-netwerkapparaten naar stagehulpmiddelen, verwerken gegevens lokaal en zijdelings in de omgeving.
Ook in gebruik door de aanvallers zijn authenticatieprotocollen zoals Terminal Access Controller Access Control System Plus (TACACS+) om laterale beweging over netwerkapparaten mogelijk te maken, terwijl tegelijkertijd uitgebreide ontdekkingsacties worden uitgevoerd en netwerkverkeer bevatten met referenties via gecompromitteerde routers via gecompromitteerde routers via gecompromitteerde routers om dieper in de netwerken te graven.
“De APT -actoren verzamelden PCAP’s met behulp van native tooling op het gecompromitteerde systeem, waarbij het primaire doel waarschijnlijk is om TACACS+ -verkeer vast te leggen via TCP -poort 49,” zeiden de agentschappen. “TACACS+ verkeer wordt gebruikt voor authenticatie, vaak voor het beheer van netwerkapparatuur en het opnemen van zeer bevoorrechte netwerkbeheerdersaccounts en -referenties, waardoor de actoren waarschijnlijk extra accounts kunnen in gevaar brengen en laterale beweging kunnen uitvoeren.”
Bovendien is Salt Typhoon waargenomen om de SSHD_OPERNS -service op Cisco IOS XR -apparaten in staat te stellen een lokale gebruiker te maken en SUDO -privileges te verlenen om root op het host -besturingssysteem te verkrijgen na inloggen via TCP/57722.
Google-eigendom Mandiant, een van de vele industriële partners die heeft bijgedragen aan het advies, verklaarde dat de bekendheid van de dreigingsacteur met telecommunicatiesystemen hen een uniek voordeel biedt, waardoor ze een overhand krijgen als het gaat om verdediging.
“Een ecosysteem van aannemers, academici en andere facilitators vormt de kern van de Chinese cyberspionage,” vertelde John Hultquist, hoofdanalist bij Google Threat Intelligence Group, aan The Hacker News. Aannemers worden gebruikt om tools en waardevolle exploits te bouwen en het vuile werk van inbraakoperaties uit te voeren. Ze hebben een belangrijke rol gespeeld bij de snelle evolutie van deze operaties en groeien ze tot een ongekende schaal. “
“Naast het richten van telecommunicatie, kan de gerapporteerde targeting van gastvrijheid en transport door deze acteur worden gebruikt om individuen nauwlettend te onderzoeken. Informatie van deze sectoren kan worden gebruikt om een volledig beeld te ontwikkelen met wie iemand praat, waar ze zijn en waar ze naartoe gaan.”
