واصل Salt Typhoon هجماته على الشبكات حول العالم، مستهدفًا مؤسسات في قطاعات الاتصالات، الحكومة، النقل، الضيافة، والبنية التحتية العسكرية.
وأشار بيان أمني مشترك إلى أن هذه المجموعة تستهدف الموجهات الرئيسية لمزودي الاتصالات الكبرى، بالإضافة إلى موجهات مزود الخدمة والمستخدم النهائي، وتستغل الأجهزة المخترقة والاتصالات الموثوقة للانتقال إلى شبكات أخرى، كما غالبًا ما تقوم بتعديل إعدادات الموجهات لضمان الوصول الدائم والطويل الأمد للشبكات.
الشركات الصينية المرتبطة بالنشاط الخبيث
وفقًا للبيان، تم ربط النشاط الخبيث بثلاث شركات صينية هي:
-
Sichuan Juxinhe Network Technology Co., Ltd
-
Beijing Huanyu Tianqiong Information Technology Co., Ltd
-
Sichuan Zhixin Ruijie Network Technology Co., Ltd
تقدم هذه الشركات منتجات وخدمات إلكترونية لدعم أجهزة المخابرات الصينية، حيث تساعد البيانات المسروقة من الاختراقات، خاصة تلك المستهدفة لمزودي خدمات الإنترنت والاتصالات، في تتبع الاتصالات وحركات الأهداف عالميًا.
نطاق الهجمات والجهات المشاركة
شارك في إصدار التحذير الأمني 13 دولة منها: أستراليا، كندا، جمهورية التشيك، فنلندا، ألمانيا، إيطاليا، اليابان، هولندا، نيوزيلندا، بولندا، إسبانيا، المملكة المتحدة، والولايات المتحدة.
وذكر بريت ليذيرمان، رئيس قسم الأمن السيبراني في مكتب التحقيقات الفيدرالي الأمريكي، أن مجموعة Salt Typhoon نشطة منذ 2019، وتنفذ حملة تجسس مستمرة تهدف إلى اختراق معايير الخصوصية والأمان للاتصالات العالمية.
استهداف أكثر من 600 منظمة
وفقًا لتقارير The Wall Street Journal وThe Washington Post، وسعت المجموعة نطاق هجماتها ليشمل أكثر من 600 منظمة في 80 دولة، بما فيها 200 منظمة في الولايات المتحدة، مستهدفة مؤسسات حيوية في الحكومة، الاتصالات، النقل، الضيافة، والبنية التحتية العسكرية.
استغلال ثغرات الشبكات
تمت ملاحظة Salt Typhoon وهي تحصل على الوصول الأولي من خلال استغلال الأجهزة الطرفية المكشوفة من شركات Cisco (CVE-2018-0171, CVE-2023-20198, CVE-2023-20273)، وIvanti (CVE-2023-46805 وCVE-2024-21887)، وPalo Alto Networks (CVE-2024-3400).
تُستخدم هذه الأجهزة المخترقة للانتقال إلى شبكات أخرى، بما في ذلك تعديل الإعدادات وإنشاء نفق GRE للوصول الدائم وتسريب البيانات.
طرق الوصول المستمر والتحرك الجانبي
تحقق Salt Typhoon الوصول المستمر إلى الشبكات المستهدفة عبر تعديل قوائم التحكم بالوصول (ACLs)، فتح المنافذ القياسية وغير القياسية، وتشغيل أوامر ضمن حاويات Linux على أجهزة Cisco لدعم الأدوات ومعالجة البيانات محليًا والتحرك ضمن البيئة.
كما تستخدم بروتوكولات المصادقة مثل TACACS+ للتحرك الجانبي، مع جمع حركة مرور الشبكة التي تحتوي على بيانات الاعتماد للوصول العميق إلى الشبكات.
استغلال خدمات إضافية لتعزيز الوصول
تم رصد المجموعة وهي تمكّن خدمة sshd_operns على أجهزة Cisco IOS XR لإنشاء مستخدم محلي ومنحه امتيازات sudo للوصول إلى root على نظام التشغيل بعد تسجيل الدخول عبر TCP/57722.
وأوضحت شركة Mandiant المملوكة لجوجل أن معرفة المجموعة بأنظمة الاتصالات يمنحها ميزة في التهرب من الدفاعات. كما قال جون هولتكوست، كبير المحللين في مجموعة استخبارات التهديدات لدى جوجل، إن شبكة من المقاولين والأكاديميين والميسرين هي قلب عمليات التجسس الصيني الإلكتروني، حيث يساهمون في تطوير الأدوات واستغلال الثغرات وتنفيذ العمليات الخبيثة.
أهداف أخرى ومراقبة دقيقة للأفراد
بالإضافة إلى استهداف الاتصالات، قد تُستخدم هجمات القطاعات الأخرى مثل الضيافة والنقل لمراقبة الأفراد بدقة، بما في ذلك من يتحدثون معهم، مواقعهم، وتحركاتهم.
