Связанная с Китаем хакерская группа Salt Typhoon проводит глобальную шпионскую кампанию, нацеленную на критически важную инфраструктуру по всему миру. Коалиция из 13 стран выпустила совместное предупреждение о деятельности группировки, которая с 2019 года скомпрометировала не менее 600 организаций в 80 странах, включая 200 организаций в США. Основная цель кампании — предоставление правительству Китая разведданных для отслеживания частных лиц и их коммуникаций в глобальном масштабе.
Группировка, также известная под псевдонимами GhostEmperor, Operator Panda, RedMike и UNC5807, связана с тремя конкретными китайскими компаниями, предоставляющими киберуслуги разведывательным службам КНР. Это Sichuan Juxinhe Network Technology Co., Ltd., Beijing Huanyu Tianqiong Information Technology Co., Ltd. и Sichuan Zhixin Ruijie Network Technology Co., Ltd.
Джон Халтквист, главный аналитик Google Threat Intelligence Group, отмечает, что китайский кибершпионаж опирается на «экосистему подрядчиков, учёных и других пособников», которые создают инструменты, находят эксплойты и проводят вторжения. Эта модель обеспечивает быструю эволюцию и беспрецедентный масштаб атак.
Атаки Salt Typhoon нацелены на широкий спектр секторов, включая телекоммуникации, правительственные учреждения, транспорт, гостиничный бизнес, военную инфраструктуру, а также интернет-провайдеров и хостинговые компании. Значительная активность наблюдается в Великобритании как минимум с 2021 года, а также в США. В Нидерландах были зафиксированы атаки на небольших интернет-провайдеров, однако свидетельств глубокого проникновения в их сети не обнаружено.
Основным вектором первоначального доступа является эксплуатация известных уязвимостей в сетевых пограничных устройствах. Группа активно использует уязвимости в продуктах Cisco (CVE-2018-0171, CVE-2023-20198, CVE-2023-20273), Ivanti (CVE-2023-46805, CVE-2024-21887) и Palo Alto Networks (CVE-2024-3400).
Для обеспечения долгосрочного доступа хакеры модифицируют прошивки маршрутизаторов. Они создают туннель инкапсуляции GRE (generic routing encapsulation) для постоянного доступа и вывода данных, а также изменяют списки контроля доступа (ACL), добавляя подконтрольные им IP-адреса и открывая нестандартные порты. На устройствах Cisco IOS XR они активируют службу
После закрепления в сети Salt Typhoon использует скомпрометированные устройства для проникновения в другие сети. Их главная задача — перехват сетевого трафика (PCAP) для извлечения учётных данных системы контроля доступа TACACS+ (Terminal Access Controller Access Control System Plus), передаваемых по TCP-порту 49. Это позволяет им завладеть учётными записями сетевых администраторов с высокими привилегиями и продолжить горизонтальное перемещение по инфраструктуре.
Бретт Лизерман, глава киберподразделения ФБР, заявил, что действия группы направлены на «нарушение глобальных норм конфиденциальности и безопасности в сфере телекоммуникаций». Данные, похищенные у телекоммуникационных компаний и интернет-провайдеров, дают китайскому правительству возможность идентифицировать и отслеживать коммуникации и передвижения своих целей по всему миру.
Атаки на гостиничный и транспортный секторы позволяют создавать полные профили интересующих лиц: с кем они общаются, где находятся и куда направляются. Эта информация предоставляет стратегическое преимущество для разведывательных операций Пекина.
Совместное консультативное заключение, опубликованное в среду, было подписано Австралией, Канадой, Чехией, Финляндией, Германией, Италией, Японией, Нидерландами, Новой Зеландией, Польшей, Испанией, Великобританией и США. В расследовании также участвовали разведывательные службы Нидерландов (MIVD и AIVD), Национальный центр кибербезопасности Великобритании (NCSC) и принадлежащая Google компания Mandiant.
Изображение носит иллюстративный характер
Группировка, также известная под псевдонимами GhostEmperor, Operator Panda, RedMike и UNC5807, связана с тремя конкретными китайскими компаниями, предоставляющими киберуслуги разведывательным службам КНР. Это Sichuan Juxinhe Network Technology Co., Ltd., Beijing Huanyu Tianqiong Information Technology Co., Ltd. и Sichuan Zhixin Ruijie Network Technology Co., Ltd.
Джон Халтквист, главный аналитик Google Threat Intelligence Group, отмечает, что китайский кибершпионаж опирается на «экосистему подрядчиков, учёных и других пособников», которые создают инструменты, находят эксплойты и проводят вторжения. Эта модель обеспечивает быструю эволюцию и беспрецедентный масштаб атак.
Атаки Salt Typhoon нацелены на широкий спектр секторов, включая телекоммуникации, правительственные учреждения, транспорт, гостиничный бизнес, военную инфраструктуру, а также интернет-провайдеров и хостинговые компании. Значительная активность наблюдается в Великобритании как минимум с 2021 года, а также в США. В Нидерландах были зафиксированы атаки на небольших интернет-провайдеров, однако свидетельств глубокого проникновения в их сети не обнаружено.
Основным вектором первоначального доступа является эксплуатация известных уязвимостей в сетевых пограничных устройствах. Группа активно использует уязвимости в продуктах Cisco (CVE-2018-0171, CVE-2023-20198, CVE-2023-20273), Ivanti (CVE-2023-46805, CVE-2024-21887) и Palo Alto Networks (CVE-2024-3400).
Для обеспечения долгосрочного доступа хакеры модифицируют прошивки маршрутизаторов. Они создают туннель инкапсуляции GRE (generic routing encapsulation) для постоянного доступа и вывода данных, а также изменяют списки контроля доступа (ACL), добавляя подконтрольные им IP-адреса и открывая нестандартные порты. На устройствах Cisco IOS XR они активируют службу
sshd_operns, создавая локального пользователя с правами sudo, что позволяет получить полный контроль после входа через TCP-порт 57722. После закрепления в сети Salt Typhoon использует скомпрометированные устройства для проникновения в другие сети. Их главная задача — перехват сетевого трафика (PCAP) для извлечения учётных данных системы контроля доступа TACACS+ (Terminal Access Controller Access Control System Plus), передаваемых по TCP-порту 49. Это позволяет им завладеть учётными записями сетевых администраторов с высокими привилегиями и продолжить горизонтальное перемещение по инфраструктуре.
Бретт Лизерман, глава киберподразделения ФБР, заявил, что действия группы направлены на «нарушение глобальных норм конфиденциальности и безопасности в сфере телекоммуникаций». Данные, похищенные у телекоммуникационных компаний и интернет-провайдеров, дают китайскому правительству возможность идентифицировать и отслеживать коммуникации и передвижения своих целей по всему миру.
Атаки на гостиничный и транспортный секторы позволяют создавать полные профили интересующих лиц: с кем они общаются, где находятся и куда направляются. Эта информация предоставляет стратегическое преимущество для разведывательных операций Пекина.
Совместное консультативное заключение, опубликованное в среду, было подписано Австралией, Канадой, Чехией, Финляндией, Германией, Италией, Японией, Нидерландами, Новой Зеландией, Польшей, Испанией, Великобританией и США. В расследовании также участвовали разведывательные службы Нидерландов (MIVD и AIVD), Национальный центр кибербезопасности Великобритании (NCSC) и принадлежащая Google компания Mandiant.
