Çin devlet destekli siber tehdit grubu tuz typhoon, en az 2019’dan beri küresel telekomünikasyon altyapısını hedefliyor ve derin kalıcılık oluşturmak ve büyük miktarlarda hassas veri hasat etmek için ağ kenar cihazlarından yararlanıyor.
Devlet Güvenliği Bakanlığı (MSS) ile uyumlu olan Salt Typhoon, Pekin’den doğrudan gözetimi sürdürürken ilişkilendirmeyi belirlemek için ön şirketleri ve yüklenici ekosistemlerini kullanan uzun vadeli sinyaller istihbarat (Sigint) koleksiyonuna odaklanmaktadır.
Tuz Typhoon’un kampanyaları, Amerika Birleşik Devletleri, Birleşik Krallık, Tayvan ve Avrupa Birliği de dahil olmak üzere birçok bölgeyi kapsamakta ve en az bir düzine ABD telekom sağlayıcısından, çok sayıda eyalet ulusal koruma ağı ve müttefik iletişim hizmetlerini tehlikeye atmıştır.
Saldırıları, VOIP konfigürasyonlarını, yasal kesişme günlüklerini, abone meta verilerini ve çağrı detay kayıtlarını kesmek için yönlendiriciler, VPN ağ geçitleri ve güvenlik duvarlarında ısmarlama kötü amaçlı yazılım, kara-off-of-lolbins) ve gizli ürün yazılımı implantları kullanır.
Son iddianameler ve istihbarat açıklamaları, tuz tayfunun I-Soon (Ankssun Information Technology Co., Ltd.), Sichuan Juxinhe Network Technology, Pekin Huanyu Tianqiong ve Sichuan Zhixin Ruijie gibi sahte özel yüklenici firmaları ile birlikte çalıştığını ortaya koyuyor.
Bu varlıklar, etki alanı kayıt boru hatları, kiralanan altyapı, teknik destek ve özel araçlar sağlar. I-Soon’un 2024’te maruz kalan sızan Github depoları ve ön şirket cephesi, MSS’nin makul inkar edilebilirliği korurken saldırgan siber operasyonlarının kritik unsurlarını nasıl dış kaynaklardan daha fazla gösterdiğini gösteriyor.
Salt Typhoon’un Tradecraft, modüler, sanayileşmiş altyapısı ile dikkat çekiyor. Grup, genellikle Protonmail hesapları ve Miami veya Illinois adresleriyle fabrikasyonlu ABD kişilerini kullanarak İngilizce alanları rutin olarak kaydeder ve meşruiyeti artırmak için Godaddy ve Sectigo’dan ticari alanda validasyonlu SSL sertifikaları alır.
Tuz tayfası, sadece saldırı kampanyalarının gevşek bir koleksiyonunu değil, aynı zamanda Çin Halk Cumhuriyeti’nin (PRC) operasyonel aygıtına yerleştirilmiş devlete yönelik bir siber casusluk programını temsil eder.
Toplu etki alanı sağlama, paylaşılan DNS ana bilgisayar kümeleri ve belirli ad sunucularının ve IP aralıklarının tekrar tekrar kullanılması, aktörün ayak izini zamanla eşlemede yardımcı olan tespit edilebilir desenler oluşturur.
Bir dizi yüksek profilli ihlal, Tuz Typhoon’un stratejik hedeflerini örneklendirir:
- ABD Telekom Meta Veri İhlali (2024): AT&T, Verizon, T-Mobile, Lümen, Windstream ve diğerleri abone meta verileri ve sömürülen yönlendirici ve güvenlik duvarı güvenlik açıkları yoluyla çözülmüş yasal kesişme kütükleri vardı. Operasyon, karşı istihbarat ve stratejik içgörü için çok önemli olan kapsamlı çağrı detay kayıtları ve altyapı haritaları verdi.
- Ulusal Guard Network Intracions (Mart – Aralık 2024): Eyalet düzeyinde koruma ağları VPN Gateway istismarları ile sızdırıldı. Saldırganlar, ağ diyagramlarını, kimlik bilgilerini ve olay müdahalesi oyun kitaplarını yakaladı ve potansiyel olarak ABD iç mobilizasyon yeteneklerinin ayrıntılı değerlendirmesini sağladı.
- İngiliz Eleştirel Altyapı İhlali (2023-2024): Belirtilmemiş İngiltere hükümeti ve askeri iletişim sistemleri, grubun beş göz istihbarat koleksiyonuna odaklanmasını vurgulayarak derinlemesine implantlar ve meta veri hasadı yaşadı.
- AB yönlendirici kaçırma (2022-2023): Hollanda, Almanya ve Fransa’daki birçok küçük-orta kademe ISS, pasif gözetim ve potansiyel trafik manipülasyonunu kolaylaştırarak ürün yazılımı implantları ve geri yüklenen güncellemeler yaşadı.
Atıf çabaları iki kilit birey tanımlamıştır: ABD Adalet Bakanlığı tarafından belirtilen ve OFAC tarafından telekom ihlallerini mümkün kılmak için onaylanan bir Sichuan Juxinhe operatörü Yin Kecheng; ve eski bir I-Soon danışmanı olan Zhou Shuai (aka “Coldface”) şimdi çalınan verileri aracılık etmek ve altyapı sağlanmasını koordine etmekle suçlandı.
Rolleri, stratejik aracılık, alan lojistiği ve teknik implant dağıtımını devlete bağlı yükleniciler arasında ayıran tuz typhoon katmanlı düşman modelinin altını çiziyor.
Salt Typhoon’un ön şirketler ve ticari yükleniciler tarafından desteklenen MSS görevleri – PRC siber doktrininde özelleştirilmiş, ölçeklenebilir casusluğa doğru daha geniş bir değişimi yansıtıyor. Meşru ticari Ar -Ge’yi gizli saldırı yetenekleriyle harmanlayarak Pekin, hem operasyonel verimliliği hem de inkar edilebilirliğe ulaşır.
Fabrikasyon kişilerin ve paylaşılan altyapının tekrar tekrar kullanımı tuz tayfunu atıfta bulunurken, sofistike implantları ve uzun süredir varlığı savunucular için önemli zorluklar yaratmaya devam etmektedir.
Ağ savunucuları için, grubun öngörülebilir alan adlandırma şablonları, toplu SSL sertifika tedariki ve paylaşılan DNS kümeleri uygun algılama pivotları sunar.
Pasif DNS, kayıt şirketi telemetrisinin, SSL sertifikası ihraçlarının ve sahte-paralı örtüşmenin izlenmesi, aktif müdahalelere dönüşmeden önce ortaya çıkan tuz tayfun kampanyalarını ortaya çıkarabilir.
Bununla birlikte, kenar cihazlarında uzun vadeli kalıcılıklarının azaltılması, telekom operatörlerinin ve kritik altyapı sağlayıcılarının ürün yazılımı güvenliğini güçlendirmesini, titiz yapılandırma yönetimini uygulamak ve VOIP ve yasal kesişme sistemleri arasında sağlam anomali algılamasını dağıtmasını gerektirecektir.
Tuz Typhoon, Tradecraft ve Yüklenici ilişkilerini geliştirdikçe, küresel iletişimin omurgasını hedefleyen devlete hizalanmış siber casusluk programlarını izleme, ilişkilendirme ve bozma konusundaki uluslararası işbirliğine acil ihtiyacın altını çiziyor.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.