A Agência de Segurança Nacional dos Estados Unidos (NSA), o National Cyber Security Centre (NCSC) do Reino Unido e parceiros de mais de uma dúzia de países vincularam as campanhas globais de hacking Salt Typhoon a três empresas de tecnologia sediadas na China.
De acordo com os comunicados conjuntos [NSA, NCSC], as empresas Sichuan Juxinhe Network Technology Co. Ltd., Beijing Huanyu Tianqiong Information Technology Co.e Sichuan Zhixin Ruijie Network Technology Co.Ltd. forneceram produtos e serviços cibernéticos para o Ministério da Segurança do Estado da China e o Exército de Libertação Popular, possibilitando operações de espionagem cibernética rastreadas como Salt Typhoon.
Desde pelo menos 2021, os atores de ameaça chineses invadiram redes governamentais, de telecomunicações, transporte, hospedagem e militares em todo o mundo, roubando dados que podem ser usados para monitorar as comunicações e movimentações dos alvos globalmente.
Em especial, nos últimos anos, Salt Typhoon realizou ataques coordenados contra empresas de telecomunicações para espionar as comunicações privadas de indivíduos ao redor do mundo.
O site BleepingComputer entrou em contato com a embaixada chinesa sobre essas alegações e atualizará a reportagem caso receba uma resposta.
Um comunicado conjunto das agências de cibersegurança e inteligência de 13 países alerta que os atores de ameaça tiveram “sucesso considerável” explorando vulnerabilidades amplamente conhecidas e já corrigidas em dispositivos de edge, ao invés de depender de zero-days.
Essas vulnerabilidades incluem:
- CVE-2024-21887 (Ivanti Connect Secure command injection)
-
CVE-2024-3400
(Palo Alto PAN-OS GlobalProtect RCE)
-
CVE-2023-20273
e
CVE-2023-20198
(Cisco IOS XE authentication bypass e privilege escalation)
-
CVE-2018-0171
(Cisco Smart Install RCE).
Usando essas falhas, os atores de ameaça obtêm acesso a dispositivos de roteamento e rede, permitindo modificar access control lists, habilitar SSH em portas não padrão, criar túneis GRE/IPsec, e explorar containers Cisco Guest Shell para garantir persistência.
“Os atores APT podem atacar dispositivos de edge independentemente de quem detém o dispositivo”, explica o relatório conjunto.
Dispositivos de entidades que não estão alinhadas com os alvos principais dos atores ainda apresentam oportunidades para uso em vetores de ataque para atingir os alvos de interesse.
Os atores aproveitam dispositivos comprometidos e conexões confiáveis ou interconexões privadas (ex.: links provedor-a-provedor ou provedor-a-cliente) para pivotar em outras redes.
Eles também coletaram capturas de pacotes do tráfego de autenticação, redirecionaram servidores TACACS+ e implementaram ferramentas customizadas de SFTP baseadas em Golang (“cmd1,” “cmd3,” “new2” e “sft”) para monitorar o tráfego e roubar dados.
Como muitas dessas vulnerabilidades já possuem correções disponíveis há algum tempo, tanto o NCSC quanto a NSA recomendam que as organizações priorizem a aplicação de patches nos dispositivos, seguido do hardening das configurações, monitoramento para mudanças não autorizadas e desativação de serviços não utilizados.
Também é recomendado que os administradores restrinjam os serviços de gerenciamento a redes dedicadas, apliquem protocolos seguros como SSHv2 e SNMPv3, e desativem o Cisco Smart Install e o Guest Shell onde não forem necessários.
A CISA já havia alertado para a necessidade de desativar o recurso legado Cisco Smart Install (SMI), após observar abusos em ataques realizados por atores chineses e russos.
Administradores também são aconselhados a buscar ativamente por sinais de comprometimento, já que as campanhas utilizam vulnerabilidades conhecidas e não zero-days furtivos.
Os novos comunicados seguem anos de ataques do Salt Typhoon contra provedores de telecomunicações e entidades governamentais.
O grupo invadiu anteriormente grandes operadoras americanas como AT&T, Verizon e Lumen, obtendo acesso a comunicações sensíveis como mensagens de texto, correios de voz e até sistemas de interceptação (wiretap) de agências de segurança dos EUA.
Essas invasões levaram a FCC a ordenar as operadoras a reforçarem a segurança de suas redes sob o Communications Assistance for Law Enforcement Act (CALEA) e a apresentarem certificações anuais comprovando a atualização dos seus planos de gerenciamento de risco em cibersegurança.
Salt Typhoon também explorou vulnerabilidades não corrigidas no Cisco IOS XE para invadir redes de telecomunicações dos EUA e Canadá, onde estabeleceram túneis GRE para garantir acesso persistente e roubaram dados de configuração.
Os atores de ameaça utilizaram um malware customizado chamado JumbledPath para monitorar e capturar o tráfego dessas redes de telecomunicações.
Além dos ataques em telecom, Salt Typhoon foi ligado a uma invasão de nove meses a uma rede da Guarda Nacional do Exército dos EUA em 2024, durante a qual roubaram arquivos de configuração e credenciais de administrador, que poderiam ser usadas para comprometer outras redes governamentais.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...