O ator de ameaça persistente avançada (APT) vinculado à China, conhecido como Salt Typhoon, continua realizando ataques contra redes ao redor do mundo, incluindo organizações dos setores de telecomunicações, governo, transporte, hospedagem e infraestrutura militar.
"Embora esses atores se concentrem em grandes backbone routers de provedores de telecomunicações importantes, assim como em routers na borda do provedor (Provider Edge - PE) e na borda do cliente (Customer Edge - CE), eles também utilizam dispositivos comprometidos e conexões confiáveis para pivotar para outras redes", afirma um aviso conjunto de cibersegurança publicado na quarta-feira(27).
Esses atores frequentemente modificam routers para manter acesso persistente e de longo prazo às redes.
O boletim, elaborado por autoridades de 13 países, relaciona a atividade maliciosa a três entidades chinesas: Sichuan Juxinhe Network Technology Co., Ltd., Beijing Huanyu Tianqiong Information Technology Co., Ltd. e Sichuan Zhixin Ruijie Network Technology Co., Ltd.
De acordo com as agências, essas empresas fornecem produtos e serviços relacionados à cibersegurança para os serviços de inteligência da China, com os dados roubados das invasões, especialmente aquelas contra telecoms e provedores de serviços de Internet (ISPs), permitindo a Pequim identificar e rastrear as comunicações e movimentos dos alvos globalmente.
Brett Leatherman, chefe da Divisão de Cyber do FBI norte-americano, afirmou que o Salt Typhoon está ativo desde pelo menos 2019, realizando uma campanha persistente de espionagem com o objetivo de "quebrar normas globais de privacidade e segurança em telecomunicações."
Em um alerta separado divulgado hoje, os serviços de inteligência e segurança holandeses MIVD e AIVD informaram que, embora organizações no país "não tenham recebido o mesmo grau de atenção dos hackers do Salt Typhoon que as dos EUA", os agentes de ameaça acessaram routers de provedores menores de ISPs e hosting.
No entanto, não há evidências de que os hackers tenham avançado para dentro dessas redes.
Os países que coassinarm o alerta de segurança incluem Austrália, Canadá, República Tcheca, Finlândia, Alemanha, Itália, Japão, Holanda, Nova Zelândia, Polônia, Espanha, Reino Unido e Estados Unidos.
"Desde pelo menos 2021, essa atividade tem como alvo organizações em setores críticos, incluindo governo, telecomunicações, transporte, hospedagem e infraestrutura militar globalmente, com um foco notável no Reino Unido", declarou o National Cyber Security Centre.
Segundo reportagens do The Wall Street Journal e The Washington Post, o grupo de hackers ampliou seu foco para outros setores e regiões, atacando ao menos 600 organizações, incluindo 200 nos EUA, em 80 países.
Salt Typhoon, cujas atividades se sobrepõem a outras identificadas como GhostEmperor, Operator Panda, RedMike e UNC5807, tem sido observado obtendo acesso inicial explorando vulnerabilidades em dispositivos de edge network expostos da Cisco (
CVE-2018-0171
,
CVE-2023-20198
e
CVE-2023-20273
), Ivanti (CVE-2023-46805 e CVE-2024-21887) e Palo Alto Networks (
CVE-2024-3400
).
"Os atores APT podem atacar dispositivos de edge independentemente de quem seja o proprietário do dispositivo", observaram as agências.
"Dispositivos pertencentes a entidades que não estão entre os principais alvos dos atores ainda oferecem oportunidades para uso como caminhos de ataque para alcançar os alvos de interesse."
Os dispositivos comprometidos são então usados para pivotar para outras redes, em alguns casos, até mesmo modificando a configuração do dispositivo e adicionando um túnel de encapsulamento genérico de roteamento (Generic Routing Encapsulation - GRE) para garantir acesso persistente e exfiltração de dados.
O acesso persistente às redes-alvo é obtido por meio da alteração de Access Control Lists (ACLs), adicionando endereços IP sob controle dos atacantes, abrindo portas padrão e não padrão e executando comandos em um container Linux on-box em dispositivos de rede Cisco compatíveis para preparar ferramentas, processar dados localmente e realizar movimentação lateral dentro do ambiente.
Os atacantes também utilizam protocolos de autenticação como Terminal Access Controller Access Control System Plus (TACACS+) para permitir movimentação lateral entre dispositivos de rede, enquanto conduzem extensas ações de discovery e capturam tráfego de rede contendo credenciais por meio de routers comprometidos para se aprofundar nas redes.
"Os atores APT coletaram PCAPs usando ferramentas nativas do sistema comprometido, provavelmente com o objetivo de capturar tráfego TACACS+ sobre a porta TCP 49", explicaram as agências.
O tráfego TACACS+ é usado para autenticação, frequentemente para administração de equipamentos de rede e inclui contas e credenciais de administradores de rede altamente privilegiados, o que provavelmente permite aos atores comprometer contas adicionais e realizar movimentação lateral.
Além disso, Salt Typhoon foi observado habilitando o serviço sshd_operns em dispositivos Cisco IOS XR para criar um usuário local e conceder privilégios sudo para obter root no sistema operacional host após login via TCP/57722.
A Mandiant, divisão do Google e uma das várias parceiras da indústria que contribuíram para o alerta, destacou que o conhecimento do ator de ameaça sobre sistemas de telecomunicações oferece uma vantagem única, facilitando a evasão de defesas.
"Um ecossistema de contratados, acadêmicos e outros facilitadores está no coração da ciberespionagem chinesa", disse John Hultquist, Chief Analyst do Google Threat Intelligence Group, ao site The Hacker News.
Contratados são usados para desenvolver ferramentas e exploits valiosos, além de executar o trabalho sujo das operações de intrusão.
Eles têm sido essenciais na rápida evolução dessas operações e na ampliação em uma escala sem precedentes.
Além do foco em telecomunicações, o ataque a setores de hospitalidade e transporte pode ser usado para monitorar indivíduos de perto.
Informações desses setores podem ser usadas para desenvolver um quadro completo de com quem a pessoa conversa, onde ela está e para onde está indo.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...