El actor avanzado de amenaza persistente (apt) de China conocido como conocido como Tifón de sal ha continuado sus ataques dirigidos a redes en todo el mundo, incluidas las organizaciones en los sectores de telecomunicaciones, gobierno, transporte, alojamiento e infraestructura militar.
«Si bien estos actores se centran en los enrutadores de la columna vertebral grandes de los principales proveedores de telecomunicaciones, así como en los enrutadores del proveedor Edge (PE) y el Edge (CE) del cliente, también aprovechan los dispositivos comprometidos y las conexiones confiables para pivotar en otras redes», según un asesoramiento de cybersity conjunto publicado el miércoles. «Estos actores a menudo modifican los enrutadores para mantener el acceso persistente a largo plazo a las redes».
El boletín, cortesía de las autoridades de 13 países, dijo que la actividad maliciosa se ha vinculado a tres entidades chinas, Sichuan Juxinhe Network Technology Co., Ltd., Beijing Huanyu Tianqiong Information Technology Co., Ltd. y Sichuan Zhixin Ruijie Network Technology Co., Ltd..
Estas compañías, según las agencias, proporcionan productos y servicios cibernéticos a los servicios de inteligencia de China, con los datos robados de las intrusiones, específicamente aquellos en contra de las telecomunicaciones y los proveedores de servicios de Internet (ISP), proporcionando a Beijing la capacidad de identificar y rastrear las comunicaciones y movimientos de sus objetivos a nivel mundial.
Los países que han seleccionado el asesoramiento de seguridad incluyen Australia, Canadá, la República Checa, Finlandia, Alemania, Italia, Japón, los Países Bajos, Nueva Zelanda, Polonia, España, el Reino Unido y los Estados Unidos.
Brett Leatherman, jefe de la División Cibernética de la Oficina Federal de Investigación de EE. UU., Dijo que el Grupo de Typhoon de Salt ha estado activo desde al menos 2019, participando en una campaña de espionaje persistente destinada a «incumplir las normas de seguridad y privacidad global de telecomunicaciones».
En una alerta independiente emitida hoy, los servicios holandeses de inteligencia y seguridad Mivd y Aivd dijeron que las organizaciones en el país «no recibieron el mismo grado de atención de los piratas informáticos de tifones de sal que los de los Estados Unidos», los actores de amenaza obtuvieron acceso a enrutadores de ISP y proveedores de alojamiento más pequeños. Sin embargo, no hay evidencia de que los piratas informáticos penetraran aún más estas redes.
«Desde al menos 2021, esta actividad ha dirigido a las organizaciones en sectores críticos, incluidos el gobierno, las telecomunicaciones, el transporte, el alojamiento e infraestructura militar a nivel mundial, con un grupo de actividad observado en el Reino Unido», dijo el Centro Nacional de Seguridad Cibernética.
Según el Wall Street Journal y el Washington Post, el equipo de piratería ha ampliado su enfoque de orientación a otros sectores y regiones, atacando no menos de 600 organizaciones, incluidas 200 en los Estados Unidos y 80 países.
https://www.youtube.com/watch?v=drnmky4-0xo
Salt Typhoon, which overlaps with activity tracked as GhostEmperor, Operator Panda, RedMike, and UNC5807, has been observed obtaining initial access through the exploitation of exposed network edge devices from Cisco (CVE-2018-0171, CVE-2023-20198, and CVE-2023-20273), Ivanti (CVE-2023-46805 and CVE-2024-21887) y Palo Alto Networks (CVE-2024-3400).
«Los actores APT pueden dirigirse a dispositivos de borde independientemente de quién posee un dispositivo en particular», señalaron las agencias. «Los dispositivos propiedad de entidades que no se alinean con los objetivos centrales de interés de los actores todavía presentan oportunidades para su uso en las vías de ataque en objetivos de interés».
Los dispositivos comprometidos se aprovechan para pivotar en otras redes, en algunos casos incluso modificando la configuración del dispositivo y agregando un túnel de encapsulación de enrutamiento genérico (GRE) para acceso persistente y exfiltración de datos.
El acceso persistente a las redes de destino se logra alterando las listas de control de acceso (ACL) para agregar direcciones IP bajo su control, abrir puertos estándar y no estándar, y ejecutar comandos en un contenedor de Linux en caja en los dispositivos de redes Cisco compatibles a las herramientas de escenario, procesar datos localmente y moverse lateralmente dentro del entorno.
Los atacantes también se ponen en uso por los protocolos de autenticación como el Sistema de control de acceso al controlador de acceso terminal (TACACS+) para permitir que el movimiento lateral a través de los dispositivos de red, al tiempo que realiza amplias acciones de descubrimiento y capturan el tráfico de red que contiene credenciales a través de enrutadores comprometidos para excavar las redes.
«Los actores APT recolectaron PCAP utilizando herramientas nativas en el sistema comprometido, con el objetivo principal probablemente capturar TACACS+ tráfico a través del puerto 49 de TCP», dijeron las agencias. «El tráfico TACACS+ se utiliza para la autenticación, a menudo para la administración de equipos de red e incluyendo cuentas y credenciales de los administradores de red altamente privilegiados, lo que probablemente permite a los actores comprometer cuentas adicionales y realizar movimientos laterales».
Además de eso, Salt Typhoon se ha observado que permite que el servicio SSHD_OPERNS en dispositivos Cisco IOS XR cree un usuario local y le otorgue privilegios de sudo para obtener raíz en el sistema operativo host después de iniciar sesión a través de TCP/57722.
Mandiant, propiedad de Google, que fue uno de los muchos socios de la industria que contribuyó al asesoramiento, declaró que la familiaridad del actor de amenaza con los sistemas de telecomunicaciones les ofrece una ventaja única, dándoles una ventaja cuando se trata de evasión de defensa.
«Un ecosistema de contratistas, académicos y otros facilitadores está en el corazón del ciber espionaje chino», dijo John Hultquist, analista jefe del Grupo de Inteligencia de Amenazos de Google, a The Hacker News. Los contratistas se utilizan para crear herramientas y exploits valiosos, así como para llevar a cabo el trabajo sucio de operaciones de intrusión. Han sido fundamentales en la rápida evolución de estas operaciones y las cultivando a una escala sin precedentes «.
«Además de dirigirse a las telecomunicaciones, la orientación informada de la hospitalidad y el transporte por parte de este actor podría usarse para vigilar de cerca a las personas. Se puede utilizar información de estos sectores para desarrollar una imagen completa de con quién está hablando alguien, dónde están y hacia dónde van».