Salt Typhoon cilja telekom i energiju

AUTOR ·

U skorašnjim kampanjama primijećeno je da Salt Typhoon koristi ranije nepoznate ranjivosti u operativnim sistemima Windows, čime zlonamjerni akteri uspijevaju da održe stalni pristup kompromitovanim sistemima oslanjajući se na prilagođene alate za zlonamjerni softver, a ovakav pristup omogućava grupi da zaobiđe tradicionalne bezbjednosne kontrole i značajno oteža njihovo otkrivanje, povećavajući dugoročnu prijetnju po ciljana okruženja.

 

Salt Typhoon

Salt Typhoon cilja telekom i energiju; Source: Bing Image Creator

SALT TYPHOON KAMPANJA

Prema izvještaju kompanije Darktrace, nedavne aktivnosti povezane sa Salt Typhoon grupom zlonamjernih aktera započele su eksploatacijom uređaja Citrix NetScaler Gateway. Ovaj vektor početnog pristupa posebno je značajan zbog svoje jednostavnosti i efikasnosti, jer omogućava zlonamjernim akterima da se infiltriraju u osjetljive mreže. Citrix NetScaler Gateway je široko korišten proizvod koji organizacije širom svijeta upotrebljavaju za obezbjeđivanje bezbjednog udaljenog pristupa internim resursima.

Atraktivnost ovog uređaja za zlonamjerne aktere leži upravo u njegovoj širokoj primjeni, naročito u telekomunikacionom i energetskom sektoru, kao i u državnim institucijama. Oni ga ciljaju kako bi ostvarili neovlašteni pristup, oslanjajući se na javno poznate ranjivosti ili eksploatacije nultog dana. Na taj način mogu da zaobiđu bezbjednosne kontrole i uspostave trajno uporište unutar ciljane mreže. U slučaju grupe Salt Typhoon, sigurnosni istraživači su utvrdili da je ona uspješno iskoristila ranjivost nultog dana kako bi se infiltrirala u jednu evropsku telekomunikacionu mrežu.

Eksploatacija Citrix NetScaler Gateway uređaja, međutim, nije izolovan incident. Ona predstavlja dio šireg trenda koji je zabilježen i u istraživanjima platforma za sajber bezbjednost Censys. Prema ovim nalazima, Salt Typhoon redovno koristi javno dostupne ranjivosti u proizvodima poput Ivanti Connect Secure, Fortinet FortiClient i Sophos Firewall za ostvarivanje početnog pristupa. Ove ranjivosti omogućavaju eskalaciju privilegija, daljinsko izvršavanje kôda i dugoročnu postojanost unutar osjetljivih mreža, što grupa praktikuje još od 2019. godine, kada je i formirana.

 

Funkcionisanje

Kada Salt Typhoon zlonamjerni akteri jednom steknu pristup mreži kompromitovanjem Citrix NetScaler Gateway uređaja, njihova pažnja se usmjerava na Citrix Virtual Delivery Agent (VDA) hostove. Ovaj prelaz olakšavaju korištenjem SoftEther VPN servisa, koji im omogućava anonimnost i bočno kretanje unutar internih okruženja. VDA hostovi im služe kao stabilno uporište sa kog mogu da pokreću izviđačke aktivnosti, šire zlonamjerni softver ili kradu osjetljive podatke.

Ključnu ulogu u ovom procesu ima podmreža Machine Creation Services, koja pruža infrastrukturu potrebnu za komandne i kontrolne (C2) servere. Na taj način Salt Typhoon grupa obezbjeđuje pouzdanu komunikaciju sa kompromitovanim VDA hostovima i održava dugoročnu prisutnost unutar ciljanih mreža.

 

VPN anonimnost

Korištenje SoftEther VPN servisa za anonimnost predstavlja ključni element metodologije napada grupe Salt Typhoon. Oslanjajući se na ovo rješenje virtuelne privatne mreže (eng. virtual private network – VPN), zlonamjerni akteri uspijevaju da prikriju svoju komandnu infrastrukturu od branilaca, čime sebi omogućavaju kontinuirano izviđanje i bočno kretanje unutar unutrašnjih okruženja.

SoftEther VPN je posebno atraktivan za aktere prijetnji jer im pruža mogućnost uspostavljanja bezbjednih i prikrivenih veza između kompromitovanih hostova ili mreža, bez izazivanja neposredne sumnje. Pored same anonimnosti, ovaj servis im omogućava i kreiranje složenih komandnih struktura koje je braniocima teško otkriti i poremetiti. To postaje naročito problematično u okruženjima gdje postoji više kompromitovanih hostova ili mreža, jer dodatno otežava timovima za reagovanje na incidente da precizno identifikuju izvor i uzrok napada.

 

Zlonamjerni softver

Upravljanje zlonamjernim komponentama u okviru aktivnosti grupe Salt Typhoon zasniva se na složenom skupu tehnika i alata. Ključnu ulogu u ovom sistemu ima SNAPPYBEE alat za tajni pristup (eng. backdoor), poznat i pod nazivom Deed RAT. Ovaj zlonamjerni softver otkriven je u kompromitovanim okruženjima kroz tehniku prikrivenog ubacivanja DLL biblioteka (eng. DLL sideloading), koja podrazumijeva ubacivanje zlonamjernih biblioteka dinamičkog povezivanja (DLL) uz legitimne izvršne datoteke antivirusnih programa.

Primjena ove tehnike omogućava zlonamjernim akterima da izbjegnu otkrivanje rješenjima zasnovanim na potpisima. Na taj način korisni tereti mogu da se izvršavaju pod imenima pouzdanih procesa, čime se značajno smanjuje vjerovatnoća da budu označeni kao sumnjiva aktivnost. Ova taktika je naročito djelotvorna u okruženjima gdje su bezbjednosne mjere prvenstveno usmjerene na prepoznavanje poznatih zlonamjernih potpisa, a ne na analizu ponašanja ili obrazaca mrežnog saobraćaja.

Sposobnost SNAPPYBEE alata za tajni pristup da se uklopi u legitimne sistemske komponente čini ga moćnim oruđem za održavanje prisustva i kontrole unutar kompromitovanih mreža. Upravo zato upotreba prikrivenog ubacivanja DLL biblioteka naglašava potrebu za naprednijim bezbjednosnim mjerama, poput analize ponašanja i otkrivanja anomalija, kako bi se na vrijeme prepoznale i ublažile potencijalne prijetnje.

Kao što je već rečeno, SNAPPYBEE alat za tajni pristup ima centralnu ulogu u  arsenalu grupe Salt Typhoon, međutim on nije samostalan, već predstavlja važnu komponentu šireg okvira  koji uključuje i modularne alate GHOSTSPIDER i MASOL RAT. Svi ovi alati razvijeni su za šifrovanu komunikaciju putem Transport Layer Security (TLS) protokola, uz visok stepen sofisticiranosti i sposobnost izbjegavanja otkrivanja.

Jedna od najvažnijih karakteristika SNAPPYBEE, kao i njegovih pratećih alata, jeste mogućnost dinamičkog učitavanja novih modula direktno u memoriju. Ova funkcionalnost omogućava zlonamjernim akterima da prošire kapacitete alata bez potrebe za ponovnim pokretanjem sistema ili reinstalacijom komponenti. Modularni dizajn dodatno olakšava ažuriranje i prilagođavanje, čime se osigurava da alati ostanu efikasni i otporni na bezbjednosne mjere koje se neprestano razvijaju.

Korištenjem nestandardnih HTTP i TCP protokola, Salt Typhoon alati uspješno zaobilaze sisteme za praćenje mrežnog saobraćaja. Uz to, oslanjaju se na slojevite C2 infrastrukture kojima upravljaju odvojeni timovi operatera, što dodatno komplikuje analizu i ublažavanje njihovih aktivnosti. Ovakav operativni model ukazuje na napredno razumijevanje bezbjednosnih mehanizama i sposobnost prilagođavanja taktika u skladu sa promjenama u odbrambenim strategijama.

 

SALT TYPHOON APT

Salt Typhoon je državno sponzorisana grupa zlonamjernih aktera povezana sa kineskim obavještajnim službama, a njene aktivnosti prvi put su otkrivene 2019. godine, uz značajne geopolitičke implikacije. Od samog početka grupa je pokazivala brz rast operacija, koristeći ranjivosti u sistemima povezanim sa osjetljivim procesima poput prisluškivanja odobrenog od suda, što je izazvalo zabrinutost zbog mogućih kompromisa u pravosudnim i mrežama za sprovođenje zakona.

Fokus Salt Typhoon grupe leži na presretanju zapisa poziva, metapodataka i osjetljivih komunikacija, pri čemu ciljaju kritičnu komunikacionu infrastrukturu, uključujući širokopojasne mreže i telekomunikacione pružaoce usluga. Ovakav pristup čini ih jednom od najopasnijih sajber prijetnji na globalnom nivou. Grupa je identifikovana kako cilja mete visoke vrijednosti, među kojima su američki internet pružaoci usluga, pružaoci usluga usluga u oblaku, pa čak i političke kampanje, što jasno odražava njihov strateški naglasak na prikupljanju obavještajnih podataka i sajber ratovanju.

Stručnjaci za sajber bezbjednost spekulišu da je Salt Typhoon povezan sa poznatim kineskim grupama naprednih trajnih prijetnji (eng. Advanced persistent threat – APT) kao što su GhostEmperor i FamousSparrow, što ukazuje na zajedničke metodologije i moguće koordinisane napore koje podržava država. Njihove velike kampanje poremetile su više sektora, otkrivajući ozbiljne ranjivosti u telekomunikacionoj infrastrukturi, širokopojasnim mrežama i vladinim sistemima.

Salt Typhoon se posebno ističe sposobnošću da koristi uobičajene alate i zlonamjerni softver za presretanje komunikacija, što dodatno otežava njihovo otkrivanje. Njihove motivacije uglavnom se povezuju sa špijunažom, dok ih jedinstvene karakteristike – strateški fokus na obavještajne podatke i mogućnosti sajber ratovanja – izdvajaju od drugih prijetnji u globalnom sajber bezbjednosnom pejzažu.

 

UTICAJ

Sama kampanja Salt Typhoon grupe zakonomjernih aktera ima snažan uticaj na zajednicu sajber bezbjednosti, naglašavajući hitnu potrebu za unaprijeđenim mogućnostima detekcije i efikasnijim strategijama za ublažavanje rizika. Sposobnost ovog naprednog zlonamjernog aktera da izbjegne tradicionalne bezbjednosne mjere jasno pokazuje ograničenja pristupa zasnovanih na potpisima u zaštiti od naprednih prijetnji.

Kako se organizacije suočavaju sa sve složenijim pejzažom prijetnji, postaje očigledno da Salt Typhoon grupa predstavlja promjenu obrasca u taktikama sajber ratovanja. Potcjenjivanje ili pogrešna procjena njenih mogućnosti može imati ozbiljne posljedice, uključujući kompromitovanje osjetljivih informacija i trajnu štetu po reputaciju.

Prikrivena priroda djelovanja Salt Typhoon grupe omogućava joj da ostane neotkrivena duži vremenski period, tokom kojeg može prikupljati vrijedne obavještajne podatke, manipulisati sistemima i iskorištavati ranjivosti. Ovakva produžena izloženost značajno povećava rizik od katastrofalnih posljedica, među kojima su ugrožavanje podataka, finansijski gubici i prijetnje nacionalnoj bezbjednosti.

Dodatno, sposobnost Salt Typhoon grupe da se uklopi u legitimne mrežne aktivnosti otežava braniocima razlikovanje normalnog od zlonamjernog ponašanja. Ova dvosmislenost stvara visok stepen neizvjesnosti i otežava organizacijama razvoj efikasnih kontramjera ili primjenu adekvatnih strategija za smanjenje rizika.

Globalni karakter operacija Salt Typhoon grupe znači da nijedna organizacija nije izvan njenog dometa. Transnacionalni obim djelovanja osigurava da čak i mreže koje se smatraju bezbjednim mogu biti kompromitovane, ostavljajući organizacije ranjivim i izloženim. Posljedice takvih napada mogu se odraziti na čitave industrije, izazivajući široko rasprostranjene poremećaje i ekonomsku nestabilnost.

 

ZAKLJUČAK

Aktivnosti grupe Salt Typhoon opširno su dokumentovane od strane zapadnih agencija za sajber bezbjednost. Grupa je povezana sa više firmi sa sjedištem u Kini, koje kineskim obavještajnim službama pružaju proizvode i usluge iz oblasti sajber bezbjednosti. Ove kompanije optužene su da omogućavaju identifikaciju i praćenje komunikacija i kretanja meta širom svijeta, čime direktno doprinose obavještajnim operacijama države.

Podaci ukradeni tokom operacija Salt Typhoon grupe protiv stranih telekomunikacionih i internet pružalaca usluga koriste se u različite svrhe. Grupa je poznata po tome što cilja i sektore smještaja i transporta, čime dolazi do vrijednih informacija o navikama i kretanjima pojedinaca. Takvi podaci potom služe kineskim obavještajnim službama za planiranje i sprovođenje operacija, što dodatno povećava strateški značaj njihovih aktivnosti.

Uticaj Salt Typhoon grupe na globalnu sajber bezbjednost je ozbiljan. Kao državno sponzorisani zlonamjerni akter, ona će vjerovatno nastaviti da cilja osjetljivu infrastrukturu i prikuplja obavještajne podatke u ime Kine. Činjenica da je aktivna u više od 80 zemalja jasno pokazuje njen široki domet i operativne mogućnosti, što je čini jednom od najopasnijih prijetnji u savremenom digitalnom okruženju.

Njena sofisticiranost ogleda se u korištenju prilagođenog i modularnog softvera. Alati koje razvijaju omogućavaju šifrovanu komunikaciju preko TLS protokola i mogu dinamički učitavati nove module u memoriju, što otežava njihovo otkrivanje tradicionalnim rješenjima zasnovanim na potpisima. Posebno se izdvajaju alati poput GHOSTSPIDER i MASOL RAT, razvijeni za tajni pristup, koji zaobilaze sisteme za praćenje mreže i koriste slojevite C2 infrastrukture kojima upravljaju odvojeni timovi operatera. Ovakva kombinacija jasno pokazuje složenost modernih sajber prijetnji i sposobnost Salt Typhoon grupe da ostane korak ispred odbrambenih mehanizama.

Dodatno, integracija zloupotrebe softvera i korištenje VPN maskiranja otežava braniocima da otkriju njihove aktivnosti. Kao rezultat toga, agencije za sajber bezbjednost moraju stalno prilagođavati svoje strategije i razvijati naprednije metode detekcije kako bi ostale ispred ovog zlonamjernog aktera.

Činjenica da je Salt Typhoon grupa povezana sa više jedinica unutar kineskih obavještajnih službi naglašava njen značaj kao državom podržanog aktera. Ovo izaziva zabrinutost zbog obima u kojem kineska obavještajna služba koristi ovu grupu za špijunažu i ostvarivanje strateških ciljeva, potvrđujući da Salt Typhoon predstavlja jednu od ključnih prijetnji globalnoj sajber bezbjednosti.

 

PREPORUKE

Uzimajući u obzir složenost i globalni domet aktivnosti Salt Typhoon grupe, kao i ozbiljne uticaje na bezbjednost, privatnost i stabilnost kritične infrastrukture, jasno je da je neophodno preduzeti ciljane i dugoročne mjere. Preporuke koje slijede imaju za cilj da pruže okvir za efikasniji odgovor, unapređenje odbrambenih kapaciteta i smanjenje rizika od budućih napada:

  1. Kako bi se zaštitili od aktivnosti Salt Typhoon grupe, neophodno je biti informisan o najnovijim prijetnjama i preporukama koje izdaju agencije za sajber bezbjednost. Potrebno je redovno pratiti pouzdane izvore sa podacima o poznatim indikatorima kompromitacije povezanim sa ovom grupom, kao što su IP adrese, domeni i varijante zlonamjernog softvera.
  2. Autentifikacija u više koraka (eng. multi-factor authentication – MFA) može značajno ojačati odbranu organizacije od napada Salt Typhoon Autentifikacija u više koraka zahtjeva od korisnika da obezbijede drugi oblik provjere pored lozinke, što zlonamjernim akterima znatno otežava dobijanje neovlaštenog pristupa. Ovo bi trebalo da se implementira u svim sistemima i aplikacijama.
  3. Poznato je da Salt Typhoon grupa iskorištava ranjivosti u softverskim proizvodima, pa redovno održavanje softvera ažuriranim najnovijim bezbjednosnim ispravkama može spriječiti ovakve napade. Neophodno je obezbijediti da se svi sistemi redovno ažuriraju, uključujući operativne sisteme, aplikacije i upravljački softver (eng. firmware).
  4. Bezbjedni komunikacioni kanali predstavljaju ključnu zaštitu od presretanja osjetljivih podataka od strane Salt Typhoon grupe ili drugih aktera prijetnje. To podrazumijeva korištenje šifrovanih usluga elektronske pošte i aplikacija za bezbjednu razmjenu poruka u poslovnoj komunikaciji, kao i primjenu bezbjednih protokola poput Hypertext Transfer Protocol SecureHTTPS prilikom prenosa podataka preko mreža ili interneta. Na ovaj način zlonamjernim akterima znatno se otežava presretanje i iskorištavanje osjetljivih informacija.
  5. Segmentacija mreže podrazumijeva podjelu mreže na manje segmente, svaki sa sopstvenim kontrolama pristupa i bezbjednosnim politikama. Ovo može pomoći u sprječavanju bočnog kretanja Salt Typhoon grupe unutar mreže organizacije u slučaju ugrožavanja.
  6. Redovne bezbjednosne revizije mogu identifikovati ranjivosti i slabosti koje Salt Typhoon ili drugi zlonamjerni akteri mogu iskoristiti. One bi trebalo da uključuju i tehničke i netehničke aspekte, kao što su pregledi politika i obuka zaposlenih.
  7. Otkrivanja zasnovana na anomalijama podrazumijevaju praćenje mrežne aktivnosti radi uočavanja neuobičajenih obrazaca ponašanja koji mogu ukazivati na bezbjednosni incident. Ovakav pristup omogućava identifikaciju ranih znakova napada Salt Typhoon grupe ili drugih zlonamjernih aktera, prije nego što se nanese značajna šteta.
  8. Informacije o prijetnjama pružaju informacije u realnom vremenu o poznatim prijetnjama i indikatorima povezanim sa tim prijetnjama, kao što su IP adrese i domeni. One treba integrisati u bezbjednosne sisteme kako bi se poboljšale mogućnosti otkrivanja.
  9. Zaposleni i korisnici treba da budu edukovani o rizicima povezanim sa aktivnostima Salt Typhoon, uključujući phishing napade i infekcije zlonamjernim softverom. Takođe treba da znaju kako da identifikuju sumnjive aktivnosti i da ih blagovremeno prijave.
  10. Planovi za odgovor na sajber prijetnje treba da jasno definišu procedure za reagovanje na bezbjednosne incidente koje mogu izazvati Salt Typhoon grupa ili drugi zlonamjerni akteri. Takvi planovi moraju obuhvatiti ključne korake, uključujući obuzdavanje napada, iskorjenjivanje prijetnje, oporavak sistema i aktivnosti nakon incidenta, kako bi se osigurala potpuna analiza i spriječilo ponavljanje sličnih incidenata.
  11. Bezbjedna rješenja za skladištenje predstavljaju ključnu zaštitu od neovlaštenog pristupa osjetljivim podacima sačuvanim na uređajima ili u uslugama u oblaku. Ona mogu obuhvatati korištenje šifrovanih sistema datoteka, kao i oslanjanje na pouzdane i bezbjedne dobavljače skladištenja u oblaku.
  12. Kontrole pristupa zasnovane na principu najmanje privilegije obezbjeđuju da korisnici i procesi imaju samo onaj nivo ovlašćenja koji im je neophodan za obavljanje svojih funkcija. Na taj način značajno se smanjuje površina napada i otežava djelovanje Salt Typhoon grupe ili drugih zlonamjernih aktera.
  13. Detekcija zasnovana na ponašanju podrazumijeva praćenje aktivnosti korisnika na uređajima ili u aplikacijama radi otkrivanja znakova sumnjivog djelovanja. Ovakav pristup može pomoći u identifikaciji ranih indikatora napada Salt Typhoon grupe ili drugih zlonamjernih aktera, prije nego što se nanese značajna šteta.
  14. Taktike, tehnike i procedure Salt Typhoon grupe stalno se razvijaju, pa i bezbjednosne kontrole moraju biti kontinuirano praćene i unapređivane kako bi se zadržala prednost. Neophodno je redovno pregledati i ažurirati bezbjednosne politike, procedure i tehnologije, kako bi ostale efikasne u suočavanju sa novim prijetnjama.
  15. Bezbjedna rješenja za daljinski pristup ključna su za sprječavanje neovlaštenog pristupa osjetljivim podacima od strane Salt Typhoon grupe kada zaposleni ili korisnici rade na daljinu. Ona mogu obuhvatati korištenje virtuelnih privatnih mreža (VPN) ili protokola bezbjedne udaljene radne površine, čime se značajno smanjuje rizik od kompromitacije komunikacije i sistema.

Prateći ove preporuke, organizacije mogu značajno smanjiti svoju izloženost riziku od aktivnosti Salt Typhoon grupe i ostati ispred prijetnji koje se razvijaju u brzo promjenljivom okruženju sajber bezbjednosti.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.