L’actor d’amenaça persistent avançada (APT) vinculat a la Xina, conegut com a Salt Typhoon ha continuat els seus atacs dirigits a xarxes d’arreu del món, incloses organitzacions dels sectors de telecomunicacions, govern, transport, allotjament i infraestructures militars.

«Tot i que aquests actors se centren en els grans encaminadors troncals dels proveïdors principals de telecomunicacions, com també en els encaminadors de la banda del proveïdor (PE) i de la banda client (CE), també aprofiten els dispositius compromesos i les connexions de confiança per fer-ne ús en altres xarxes», segons un assessorament conjunt de ciberseguretat publicat dimecres. «Aquests actors sovint modifiquen els encaminadors per mantenir un accés persistent i a llarg termini a les xarxes.»

El butlletí, cortesia de les autoritats de 13 països, informava que l’activitat maliciosa s’ha relacionat amb tres entitats xineses, Sichuan Juxinhe Network Technology Co., Ltd., Beijing Huanyu Tianqiong Information Technology Co., Ltd. i Sichuan Zhixin Ruijie Network Technology Co., Ltd.

Aquestes empreses, van dir les agències, proporcionen productes i serveis relacionats amb la cibernètica als serveis d’intel·ligència de la Xina, amb les dades robades de les intrusions, específicament contra els proveïdors de serveis d’Internet (ISP) i de telecomunicacions, i proporcionen a Beijing la capacitat d’identificar i fer un seguiment de les comunicacions i moviments dels seus objectius a nivell mundial.

Els països que han signat conjuntament l’avís de seguretat són Austràlia, Canadà, la República Txeca, Finlàndia, Alemanya, Itàlia, Japó, els Països Baixos, Nova Zelanda, Polònia, Espanya, el Regne Unit i els EUA.

Brett Leatherman, cap de la Divisió Cibernètica de l’Oficina Federal d’Investigacions dels Estats Units, va dir que el grup Salt Typhoon ha estat actiu almenys des del 2019, i ha participat en una campanya d’espionatge persistent destinada a «infringir les normes globals de privadesa i seguretat de les telecomunicacions.»

En una alerta independent emesa avui, els serveis d’intel·ligència i seguretat holandesos MIVD i AIVD van comunicar que mentre que les organitzacions del país «no havien  rebut el mateix grau d’atenció dels pirates informàtics de Salt Typhoon que les dels Estats Units», els actors de l’amenaça van obtenir accés a encaminadors d’ISP i proveïdors d’allotjament més petits. Tanmateix, no hi ha proves que els pirates informàtics hagin penetrat més en aquestes xarxes.

«Des del 2021, com a mínim, aquesta activitat s’ha dirigit a organitzacions de sectors crítics com ara el govern, les telecomunicacions, el transport, l’allotjament i la infraestructura militar a nivell mundial, amb un cúmul d’activitats observades al Regne Unit», va informar el National Cyber ​​Security Center.

Segons el The Wall Street Journal i The Washington Post, l’equip de pirateria ha ampliat el seu focus d’orientació a altres sectors i regions, i ha atacat almenys 600 organitzacions, incloses 200 als Estats Units i a 80 països.

S’ha pogut veure com Salt Typhoon, que se superposa amb l’activitat rastrejada com a GhostEmperor, Operator Panda, RedMike i UNC5807, aconseguia accés inicial mitjançant l’explotació de dispositius de xarxa exposats de Cisco (CVE-2018-0171, CVE-2023-20198, i CVE-2023-20273), Ivanti (CVE-2023-46805 i CVE-2024-21887), i Palo Alto Networks (CVE-2024-3400).

Tanmateix, les agències van assenyalar que aquestes vulnerabilitats no són «exhaustives» i que els actors de l’amenaça també poden perseguir altres dispositius com ara tallafocs Fortinet, tallafocs Juniper, Microsoft Exchange, encaminadors i commutadors Nokia, dispositius Sierra Wireless i tallafocs Sonicwall, entre d’altres per a l’accés inicial.

Les agències també van assenyalar que «Els actors de l’APT poden apuntar a dispositius Edge, independentment de qui sigui el propietari d’un dispositiu en particular. Els dispositius propietat d’entitats que no s’alineen amb els objectius principals d’interès dels actors també presenten oportunitats d’ús per aconseguir vies d’atac cap a objectius d’interès.»

Els dispositius compromesos s’aprofiten per accedir a altres xarxes, fins i tot en alguns casos amb la modificació de la configuració del dispositiu i per afegir un túnel d’encapsulació d’encaminament genèric (GRE) per a l’accés persistent i l’exfiltració de dades.

L’accés persistent a les xarxes de destinació s’aconsegueix alterant les llistes de control d’accés (ACL) per afegir adreces IP sota el seu control, obrint ports estàndard i no estàndard, i executant ordres en un contenidor Linux integrat en dispositius de xarxa Cisco compatibles per organitzar eines, processar dades localment i moure’s lateralment dins de l’entorn.

Els atacants també fan servir protocols d’autenticació com el Terminal Access Controller Access Control System Plus (TACACS+) per permetre el moviment lateral a través dels dispositius de la xarxa, alhora que duen a terme accions de descoberta extensives i capturen el trànsit de la xarxa que conté credencials mitjançant encaminadors compromesos per endinsar-se més en les xarxes.

Les agències també van afirmar que «Els actors de l’APT van recopilar PCAP fent servir eines natives al sistema compromès, amb l’objectiu principal probable de capturar el trànsit TACACS+ a través del port TCP 49. El trànsit TACACS+ es fa servir per a l’autenticació, sovint per a l’administració d’equips de xarxa i inclou comptes i credencials d’administradors de xarxa molt privilegiats, que probablement permeten que els actors comprometin comptes addicionals i facin moviments laterals.»

A més, s’ha observat que Salt Typhoon permet el servei sshd_operns als dispositius Cisco IOS XR per crear un usuari local i atorgar-li privilegis sudo (substitute user do) per obtenir l’arrel al sistema operatiu amfitrió després d’iniciar sessió mitjançant TCP/57722.

Mandiant, propietat de Google, que va ser un dels molts socis del sector que va contribuir a l’assessorament, va afirmar que la familiaritat de l’actor de l’amenaça amb els sistemes de telecomunicacions els ofereix un avantatge únic, que els dona privilegis quan es tracta d’evadir-se de la defensa.

Val la pena assenyalar que l’UNC5807 és un clúster d’amenaces diferent de  l’UNC2286, que, en el passat, s’ha identificat com a superposició amb FamousSparrow i GhostEmperor, segons Google Threat Intelligence Group (GTIG) i Mandiant.

Dan Perez, cap de la missió de la Xina a GTIG, a The Hacker News va afirmar que «Tot i que alguns informes públics han associat l’UNC5807 i l’UNC2286 amb l’àlies GhostEmperor, Google avalua que aquests són grups d’amenaces diferents. La nostra anàlisi es basa en les distincions en les seves habilitats pel que fa a l’espionatge i les motivacions operatives.»

«Els conjunts d’eines utilitzades per cada grup són diferents. Hem vist  com l’UNC5807 ha fet servir un conjunt específic i limitat de famílies de programari maliciós. En canvi, l’UNC2286 fa servir un arsenal molt més ampli i variat d’eines malicioses. A més, els seus objectius són diferents. Hem observat que l’UNC2286 fa atacs amb motivació financera, incloses les activitats de segrest i el desplegament de programari de segrest. I els de l’UNC5807, en canvi, són coherents amb les operacions d’espionatge.»

John Hultquist, analista en cap de GTIG, també afirma a la publicació que «Un ecosistema de contractistes, acadèmics i altres facilitadors és el cor de l’espionatge cibernètic xinès. Els contractistes es fan servir per construir eines i explotacions valuoses, com també per dur a terme el treball brut de les operacions d’intrusió. Han estat fonamentals en la ràpida evolució d’aquestes operacions i en fer-les créixer a una escala sense precedents.»

«A més d’orientar-se a les telecomunicacions, aquest actor podria fer servir l’objectiu de l’hostaleria i el transport per vigilar de prop les persones. La informació d’aquests sectors es pot utilitzar per desenvolupar una imatge completa d’una persona: amb qui parla, on es troba i cap a on va.»