El actor avanzado de amenaza persistente (APT) relacionada con China, conocido como Typhoon de Salt, continúa ataques dirigidos a redes en todo el mundo, incluidas las organizaciones en los sectores de telecomunicaciones, gobierno, transporte, alojamiento e infraestructura militar.
«Estos actores se centran en los principales enrutadores de la columna vertebral de los proveedores de telecomunicaciones, así como en los enrutadores del proveedor Edge (PE) y el Edge (CE) del cliente, pero considera otras redes para obtener dispositivos comprometidos y conexiones confiables, de acuerdo con un asesoramiento de seguridad cibernética conjunta emitida el miércoles».
El boletín, cortesía de las autoridades de 13 países, incluye tres compañías chinas, Sichuan Juxine Network Technology Co., Ltd., Beijing Huanyu Tianqiong Informationg Technology Co., Ltd. y Sichuan Zhixin Ruijie Network Technology Co., Ltd.
Según la agencia, estas compañías brindan a Beijing la capacidad de identificar y rastrear globalmente las comunicaciones y movimientos específicos de los datos robados de intrusiones, particularmente los proveedores de servicios de comunicaciones y Internet (ISP), proporcionando productos y servicios relacionados con el ciberdolvo a la agencia de inteligencia de China.
Brett Leatherman, jefe de la División Cibernética de la Oficina Federal de Investigación de los Estados Unidos, dijo que Salt Timson ha estado activo desde al menos 2019 y se dedica a actividades de espionaje permanentes destinadas a «violar las normas de privacidad y seguridad de la comunicación global».
En una alerta independiente emitida hoy, las agencias de inteligencia holandesas Mivd y Aivd dijeron que las organizaciones nacionales «no prestaron el mismo nivel de atención de los hackers de los tifones de sal». Sin embargo, no hay evidencia de que los piratas informáticos hayan invadido estas redes.
Los países que sellaron conjuntamente los avisos de seguridad incluyen Australia, Canadá, la República Checa, Finlandia, Alemania, Italia, Japón, los Países Bajos, Nueva Zelanda, Polonia, España, el Reino Unido y los Estados Unidos.
«Desde al menos 2021, esta actividad ha dirigido a organizaciones en sectores clave de todo el mundo, incluidos el gobierno, las comunicaciones, el transporte, la alojamiento e infraestructura militar, con grupos de actividad observados en el Reino Unido», dijo el Centro Nacional de Ciberseguridad.
Según el Wall Street Journal y el Washington Post, el equipo de piratería atacó a más de 600 organizaciones, incluidas 200 y 80 países en los Estados Unidos, ampliando el enfoque del objetivo a otros sectores y regiones.
Se ha observado que el tifón de sal, que se superpone con actividades rastreadas como Ghostemperor, operador Panda, Redmike y UNC5807, obtiene acceso inicial a través de la explotación de dispositivos de borde de red expuestos de Cisco (CVE-2018-0171, CVE-2023-20198 y CVE-2023-20273), CVE-2023-46023 CVE-2024-21887) y Palo Alto Networks (CVE-2024-3400).
«Los actores APT pueden dirigirse a dispositivos Edge, independientemente de quién posee un dispositivo en particular», dijo la agencia. «Los dispositivos propiedad de entidades que no coinciden con los objetivos centrales de las partes interesadas aún brindan oportunidades para los objetivos de interés en sus rutas de ataque».
Se utiliza un dispositivo comprometido para pivotar en otras redes, y en algunos casos cambia la configuración del dispositivo y agrega un túnel de encapsulación de enrutamiento general (GRE) para acceso permanente y eliminación de datos.
El acceso persistente a la red de destino cambia la lista de control de acceso (ACLS), agrega una dirección IP bajo control, abre el estándar, abre puertos no estándar, ejecuta comandos en un contenedor de Linux en boxeo en un dispositivo de red Cisco compatible, maneja localmente dentro del entorno y se mueve horizontalmente.
Además, los atacantes usan protocolos de autenticación, como el Sistema de control de acceso al controlador de acceso terminal (TACACS+) para permitir el movimiento lateral en los dispositivos de red, mientras realizan simultáneamente acciones de descubrimiento extensas, capturando el tráfico de red que contiene derechos a través de enrutadores comprometidos y profundizando en la red.
«Los funcionarios APT han recopilado PCAP utilizando herramientas nativas del sistema comprometido. El objetivo principal es capturar TACACS+ tráfico en el puerto de TCP 49», dijo la agencia. «El tráfico TACACS+ a menudo se usa para administrar equipos de red y para autenticarse con cuentas y credenciales de administradores de red altamente privilegiados, lo que permite a los actores comprometer cuentas adicionales y realizar movimientos laterales».
Además de eso, se ha observado Salt Typhoon, y el servicio SSHD_OPERNS en dispositivos Cisco IOS XR crea un usuario local y le otorga privilegios de sudo para obtener la raíz del sistema operativo del host después de iniciar sesión a través de TCP/57722.
Mandiant, propiedad de Google, uno de los muchos socios de la industria que contribuyó al asesoramiento, dijo que la familiaridad con los sistemas de telecomunicaciones del actor de amenazas les ofrece ventajas únicas y les da una ventaja cuando se trata de evasión de defensa.
«El ecosistema de contratistas, académicos y otros facilitadores está en el corazón de Cyberspy de China», dijo John Hultquist, analista jefe del Grupo de Inteligencia de Amenazas de Google, a Hacker News. Los contratistas se utilizan para crear herramientas y exploits valiosos, realizando el trabajo sucio de las operaciones de intrusión. Han contribuido a la rápida evolución de estas operaciones y están creciendo a una escala sin precedentes. «
«Además de ser un objetivo para la comunicación, podemos usar informes de hospitalidad y objetivos de transporte de este actor para investigar de cerca a las personas. Podemos usar información de estos sectores para desarrollar un panorama general de con quién está hablando alguien, dónde están y dónde van».
Source link
