Ο σκοπός της επίθεσης φαίνεται να είναι η συλλογή πληροφοριών καθώς οι χάκερ μπορεί να είχαν πρόσβαση σε συστήματα που χρησιμοποιούνται από την ομοσπονδιακή κυβέρνηση των ΗΠΑ για αιτήματα υποκλοπής δικτύων που έχουν εξουσιοδοτηθεί από το δικαστήριο.
Δεν είναι σαφές πότε συνέβη η εισβολή, αλλά το WSJ επικαλείται άτομα που είναι εξοικειωμένα με το θέμα, λέγοντας ότι «για μήνες ή περισσότερο, οι χάκερ μπορεί να είχαν πρόσβαση στην υποδομή δικτύου που χρησιμοποιείται για τη συνεργασία με νόμιμα αιτήματα των ΗΠΑ για δεδομένα επικοινωνιών».
Το Salt Typhoon είναι το όνομα που έδωσε η Microsoft σε αυτόν τον συγκεκριμένο παράγοντα απειλών με έδρα την Κίνα. Άλλες εταιρείες κυβερνοασφάλειας παρακολουθούν τον αντίπαλο ως Earth Estries (Trend Micro), FamousSparrow (ESET), Ghost Emperor (Kaspersky) και UNC2286 (Mandiant, τώρα μέρος του Google Cloud).
Λήψη ευαίσθητης κυκλοφορίας
Σύμφωνα με το WSJ, η επίθεση ανακαλύφθηκε τις τελευταίες εβδομάδες και ερευνάται από την κυβέρνηση των ΗΠΑ και ειδικούς σε θέματα ασφάλειας στον ιδιωτικό τομέα.
Ο αντίκτυπος της επίθεσης – ποσότητα και είδος των παρατηρούμενων και διεισδυμένων δεδομένων – εξακολουθεί να αξιολογείται, είπαν στο WSJ άτομα με πληροφορίες σχετικά με την εισβολή.
«Οι χάκερ φαίνεται να έχουν εμπλακεί σε μια τεράστια συλλογή διαδικτυακής κίνησης από παρόχους υπηρεσιών Διαδικτύου που υπολογίζουν μεγάλες και μικρές επιχειρήσεις και εκατομμύρια Αμερικανούς ως πελάτες τους» – Wall Street Journal
Εκτός από την παραβίαση παρόχων υπηρεσιών στις ΗΠΑ, το Salt Typhoon μπορεί να έχει παραβιάσει παρόμοιες οντότητες και σε άλλες χώρες.
Η Salt Typhoon δραστηριοποιείται τουλάχιστον από το 2019 και θεωρείται μια εξελιγμένη ομάδα hacking που εστιάζει σε κυβερνητικούς φορείς και εταιρείες τηλεπικοινωνιών συνήθως στην περιοχή της Νοτιοανατολικής Ασίας.
Ερευνητές ασφαλείας διαπίστωσαν επίσης ότι ο δράστης της απειλής επιτέθηκε σε ξενοδοχεία, εταιρείες μηχανικών και δικηγορικά γραφεία στη Βραζιλία, τη Μπουρκίνα Φάσο, τη Νότια Αφρική, τον Καναδά, το Ισραήλ, τη Γαλλία, τη Γουατεμάλα, τη Λιθουανία, τη Σαουδική Αραβία, την Ταϊβάν, την Ταϊλάνδη και το Ηνωμένο Βασίλειο.
Οι χάκερ συνήθως αποκτούν αρχική πρόσβαση στο δίκτυο-στόχο εκμεταλλευόμενοι τρωτά σημεία, όπως τα τρωτά σημεία ProxyLogon στον Microsoft Exchange Server (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 και CVE-2065-27).
Σε προηγούμενες επιθέσεις που αποδίδονταν στο Salt Typhoon/Ghost Emperor, ο ηθοποιός της απειλής χρησιμοποίησε μια προσαρμοσμένη κερκόπορτα που ονομάζεται SparrowDoorπροσαρμοσμένες εκδόσεις του εργαλείου Mimikatz για την εξαγωγή δεδομένων ελέγχου ταυτότητας και ένα rootkit λειτουργίας πυρήνα των Windows Demodex.
Οι ερευνητές εξακολουθούν να αναζητούν την αρχική μέθοδο πρόσβασης για την πρόσφατη επίθεση. Το WSJ λέει ότι μια λεωφόρος που εξερευνάται αποκτά πρόσβαση σε δρομολογητές Cisco που είναι υπεύθυνοι για τη δρομολόγηση της κυκλοφορίας στο Διαδίκτυο.
Ωστόσο, ένας εκπρόσωπος της Cisco είπε στο WSJ ότι η εταιρεία ερευνούσε το θέμα, αλλά δεν είχε λάβει καμία ένδειξη ότι ο εξοπλισμός δικτύωσης της Cisco εμπλέκεται στην παραβίαση.
Η Verizon δεν έχει απαντήσει στα email μας και θα ενημερώσουμε την ιστορία εάν λάβουμε απάντηση.
Οι κινεζικές ομάδες hacking APT στοχεύουν ολοένα και περισσότερο τις συσκευές δικτύωσης και τους παρόχους υπηρεσιών διαδικτύου των ΗΠΑ και της Ευρώπης σε επιθέσεις κυβερνοκατασκοπείας.
Τον Αύγουστο, ερευνητές κυβερνοασφάλειας στο Lumen’s Black Lotus Labs αποκάλυψαν ότι οι κινέζοι παράγοντες απειλών γνωστοί ως “Volt Typhoon” εκμεταλλεύτηκαν ένα ελάττωμα zero-day του Versa Director για να κλέψουν διαπιστευτήρια και να παραβιάσουν τα εταιρικά δίκτυα. Κατά τη διάρκεια αυτών των επιθέσεων, οι παράγοντες της απειλής παραβίασαν πολλούς ISP και MSP στις ΗΠΑ και την Ινδία, κάτι που δεν πιστεύεται ότι σχετίζεται με τις πρόσφατες παραβιάσεις.
Τον Σεπτέμβριο, η Black Lotus Labs και οι αρχές επιβολής του νόμου διέκοψαν ένα τεράστιο κινεζικό botnet με το όνομα “Raptor Train” που παραβίασε πάνω από 260.000 δρομολογητές SOHO, κάμερες IP με κακόβουλο λογισμικό. Αυτό το botnet χρησιμοποιήθηκε από τους παράγοντες απειλών “Flax Typhoon” για επιθέσεις DDoS και ως πληρεξούσιο για την έναρξη κρυφών επιθέσεων σε άλλους οργανισμούς.
Ενώ αυτές οι επιθέσεις έχουν αποδοθεί σε διαφορετικές κινεζικές ομάδες hacking, πιστεύεται ότι λειτουργούν κάτω από την ίδια ομπρέλα, μοιράζοντας συνήθως υποδομές και εργαλεία.
VIA: bleepingcomputer.com
