Η κινεζική ομάδα Salt Typhoon (επίσης γνωστή ως Earth Estries, GhostEmperor, UNC2286) συνεχίζει να προκαλεί ανησυχία στις αρχές κυβερνοασφάλειας, καθώς εφαρμόζει εξελιγμένες μεθόδους για να κατασκοπεύει δίκτυα τηλεπικοινωνιών στις ΗΠΑ. Παρά το γεγονός ότι τα κύρια στοιχεία προέρχονται από την πρόσφατη έρευνα της Cisco Talos, πρόσθετες πηγές, όπως η Mandiant και το MITRE ATT&CK, έχουν εντοπίσει κοινά χαρακτηριστικά με άλλες διαβόητες κινέζικες ομάδες APT (Advanced Persistent Threat).
Σύμφωνα με τις διαθέσιμες πληροφορίες, η Salt Typhoon χρησιμοποιεί ένα custom εργαλείο ονόματι JumbledPath, γραμμένο σε Go, το οποίο λειτουργεί σε x86_64 συστήματα βασισμένα σε Linux. Αυτό το λογισμικό μπορεί να παρακολουθεί την κίνηση στο δίκτυο (packet capture) και να απενεργοποιεί τα logs, δυσχεραίνοντας σημαντικά την ανίχνευση από τα θιγόμενα οργανωτικά ή κρατικά συστήματα.
Οι χάκερ της Salt Typhoon φέρεται να εισβάλουν σε κεντρικές δικτυακές υποδομές τηλεπικοινωνιακών εταιρειών, αξιοποιώντας κυρίως κλεμμένα διαπιστευτήρια. Παρότι υπήρξε μια περίπτωση εκμετάλλευσης της ευπάθειας Cisco CVE-2018-0171, δεν υπάρχουν ενδείξεις ότι η ομάδα αξιοποιεί ευπάθειες zero-day για τις συγκεκριμένες επιθέσεις. Παρόμοιες πρακτικές έχουν καταγραφεί και από άλλες ομάδες που συνδέονται με την Κίνα, όπως η APT41 ή η Mustang Panda, οι οποίες ειδικεύονται στην πλευρική κίνηση μέσα στο δίκτυο και στην απόκρυψη των ιχνών τους.
Οι επιτιθέμενοι συχνά υποκλέπτουν επιπλέον credentials από ρυθμίσεις δικτυακών συσκευών και πρωτόκολλα αυθεντικοποίησης (π.χ. SNMP, TACACS, RADIUS). Ακολούθως, κατεβάζουν τις ρυθμίσεις των συσκευών (configurations) χρησιμοποιώντας TFTP και FTP, αποκτώντας περαιτέρω πρόσβαση και δυνατότητα χαρτογράφησης όλου του τηλεπικοινωνιακού δικτύου. Επιπλέον, ενεργοποιούν λειτουργίες όπως το Guest Shell για να εκτελούν εντολές και να τροποποιούν λίστες ελέγχου πρόσβασης, ενώ παράλληλα δημιουργούν κρυφούς λογαριασμούς που επιτρέπουν μόνιμη παρουσία.
Ειδικό ενδιαφέρον παρουσιάζει η ικανότητά τους να κινούνται μεταξύ διαφορετικών δικτυακών συσκευών – ακόμη και από υποδομές edge ή συνεργαζόμενα τηλεπικοινωνιακά δίκτυα – για να συγκαλύπτουν την προέλευσή τους. Αυτό εγείρει ανησυχίες σχετικά με την κλίμακα και τη διάρκεια της διείσδυσης, ιδίως από τη στιγμή που έχουν καταγραφεί περιπτώσεις όπου οι επιτιθέμενοι διατηρούσαν πρόσβαση για περισσότερα από τρία χρόνια.
Άλλες κινεζικές ομάδες hacking στο πρόσφατο παρελθόν έχουν επίσης εντείνει τις επιθέσεις τους σε edge συσκευές, συχνά εκμεταλλευόμενες παλαιότερες αδυναμίες ή κλεμμένα διαπιστευτήρια. Αυτό υπογραμμίζει την αναγκαιότητα για άμεση εφαρμογή ενημερώσεων ασφαλείας (patches) και για αυστηρές πολιτικές ελέγχου των κωδικών πρόσβασης.
Πέρα από την επίσημη αναφορά της Cisco Talos, οι ερευνητές της Mandiant επιβεβαιώνουν τη στρατηγική στόχευση τηλεπικοινωνιακών παρόχων, κάτι που υποδηλώνει ότι τέτοιου είδους επιθέσεις μπορεί να έχουν και διάσταση εθνικής κατασκοπείας ή βιομηχανικής κατασκοπείας. Επιπλέον, το MITRE ATT&CK προσφέρει λεπτομερή κατηγοριοποίηση των τεχνικών που παραπέμπουν σε παρόμοια μοτίβα επιθέσεων από την κινεζική απειλή.
Οι ειδικοί συμβουλεύουν τους διαχειριστές δικτύων να παρακολουθούν στενά τη μη εξουσιοδοτημένη SSH δραστηριότητα σε ασυνήθιστες θύρες, να ελέγχουν τυχόν απουσία αρχείων καταγραφής (π.χ. .bash_history) και να εντοπίζουν απότομες αλλαγές στην διαμόρφωση συσκευών.
Καθώς οι τακτικές των κινέζικων ομάδων hacking εξελίσσονται, η ενημέρωση λογισμικού, ο εντοπισμός ασυνήθιστης κίνησης και η κατάλληλη θωράκιση των υποδομών αποτελούν κορυφαίες προτεραιότητες. Μόνο μέσα από μια πολυεπίπεδη προσέγγιση ασφάλειας και τη συνεχή επαγρύπνηση μπορεί να μειωθεί ο κίνδυνος επιτυχούς κυβερνοεπίθεσης.
Πηγές: BleepingComputer
