Исследователи безопасности из компании Silent Push обнаружили 45 ранее неизвестных доменов, использовавшихся для проведения длительных кампаний кибершпионажа. Анализ, предоставленный изданию The Hacker News, указывает на то, что связанная с Китаем хакерская группировка Salt Typhoon вела свою деятельность гораздо дольше, чем считалось ранее, используя инфраструктуру, созданную годами.
Основным оператором этой инфраструктуры является группа Salt Typhoon, также известная под псевдонимами Earth Estries, FamousSparrow, GhostEmperor и UNC5807. Считается, что эта группировка связана с Министерством государственной безопасности Китая (MSS) и активна как минимум с 2019 года. Её основной целью являются поставщики телекоммуникационных услуг в Соединенных Штатах.
Расследование выявило пересечение используемой инфраструктуры с другой китайской хакерской группой — UNC4841. Это указывает на возможную координацию действий или совместное использование ресурсов между различными подразделениями, занимающимися кибершпионажем.
Группа UNC4841 получила известность после эксплуатации уязвимости нулевого дня в устройствах Barracuda Email Security Gateway (ESG). Данная уязвимость, зарегистрированная под идентификатором CVE-2023-2868, имеет критический уровень опасности с оценкой 9.8 по шкале CVSS, что позволяло злоумышленникам получать полный контроль над скомпрометированными системами.
Новые данные полностью меняют представление о хронологии атак Salt Typhoon. Самый старый из обнаруженных доменов,
Для регистрации доменов и сокрытия своей личности злоумышленники применяли продуманные методы. Как минимум 16 из 45 доменов были зарегистрированы с использованием трех различных адресов электронной почты сервиса Proton Mail. Это усложняло отслеживание и атрибуцию инфраструктуры.
В процессе регистрации использовались вымышленные данные. В частности, была создана личность «Моники Берч» (Monica Burch) с несуществующим адресом: 1294 Koontz Lane, Лос-Анджелес, Калифорния. Применение таких фальшивых персон является стандартной тактикой для сокрытия следов.
Операторы использовали смешанную стратегию размещения своей инфраструктуры. Многие домены указывали на IP-адреса с высокой плотностью, где размещается большое количество легитимных сайтов, что позволяет замаскировать вредоносный трафик. Другие домены были связаны с IP-адресами низкой плотности, которые могли использоваться для более целенаправленных операций.
В свете этих открытий компания Silent Push настоятельно рекомендует организациям, находящимся в группе риска, провести ретроактивный анализ своих систем. Необходимо проверить журналы DNS за последние пять лет на предмет запросов к любому из 45 обнаруженных доменов или их поддоменов.
Кроме того, специалистам по безопасности следует тщательно изучить журналы сетевой активности на предмет любых соединений с IP-адресами, связанными с этой инфраструктурой. Особое внимание стоит уделить временным периодам, в которые, как теперь известно, действовали злоумышленники.
Изображение носит иллюстративный характер
Основным оператором этой инфраструктуры является группа Salt Typhoon, также известная под псевдонимами Earth Estries, FamousSparrow, GhostEmperor и UNC5807. Считается, что эта группировка связана с Министерством государственной безопасности Китая (MSS) и активна как минимум с 2019 года. Её основной целью являются поставщики телекоммуникационных услуг в Соединенных Штатах.
Расследование выявило пересечение используемой инфраструктуры с другой китайской хакерской группой — UNC4841. Это указывает на возможную координацию действий или совместное использование ресурсов между различными подразделениями, занимающимися кибершпионажем.
Группа UNC4841 получила известность после эксплуатации уязвимости нулевого дня в устройствах Barracuda Email Security Gateway (ESG). Данная уязвимость, зарегистрированная под идентификатором CVE-2023-2868, имеет критический уровень опасности с оценкой 9.8 по шкале CVSS, что позволяло злоумышленникам получать полный контроль над скомпрометированными системами.
Новые данные полностью меняют представление о хронологии атак Salt Typhoon. Самый старый из обнаруженных доменов,
onlineeylity[.]com, был зарегистрирован 19 мая 2020 года. Самая ранняя сетевая активность на IP-адресах с низкой плотностью размещения доменов была зафиксирована в октябре 2021 года. Эти факты доказывают, что подготовка к шпионским операциям началась задолго до атак, получивших широкую огласку в 2024 году. Для регистрации доменов и сокрытия своей личности злоумышленники применяли продуманные методы. Как минимум 16 из 45 доменов были зарегистрированы с использованием трех различных адресов электронной почты сервиса Proton Mail. Это усложняло отслеживание и атрибуцию инфраструктуры.
В процессе регистрации использовались вымышленные данные. В частности, была создана личность «Моники Берч» (Monica Burch) с несуществующим адресом: 1294 Koontz Lane, Лос-Анджелес, Калифорния. Применение таких фальшивых персон является стандартной тактикой для сокрытия следов.
Операторы использовали смешанную стратегию размещения своей инфраструктуры. Многие домены указывали на IP-адреса с высокой плотностью, где размещается большое количество легитимных сайтов, что позволяет замаскировать вредоносный трафик. Другие домены были связаны с IP-адресами низкой плотности, которые могли использоваться для более целенаправленных операций.
В свете этих открытий компания Silent Push настоятельно рекомендует организациям, находящимся в группе риска, провести ретроактивный анализ своих систем. Необходимо проверить журналы DNS за последние пять лет на предмет запросов к любому из 45 обнаруженных доменов или их поддоменов.
Кроме того, специалистам по безопасности следует тщательно изучить журналы сетевой активности на предмет любых соединений с IP-адресами, связанными с этой инфраструктурой. Особое внимание стоит уделить временным периодам, в которые, как теперь известно, действовали злоумышленники.
