ABD’li telekomünikasyon devi T-Mobile, kendisinin de değerli bilgilere erişim sağlamak amacıyla Çinli tehdit aktörleri tarafından hedef alınan şirketler arasında yer aldığını doğruladı.
Salt Typhoon olarak takip edilen düşmanlar, “yüksek değerli istihbarat hedeflerinin” cep telefonu iletişimlerini toplamak için tasarlanmış “aylar süren bir kampanyanın” parçası olarak şirkete sızma yaptılar. Kötü niyetli faaliyet sırasında hangi bilgilerin (eğer varsa) alındığı açık değil.
Şirketin bir sözcüsü, “T-Mobile bu sektör çapındaki saldırıyı yakından izliyor ve şu anda T-Mobile sistemleri ve verileri önemli bir şekilde etkilenmedi ve müşteri bilgilerinin etkilendiğine dair hiçbir kanıtımız yok” dedi. The Wall Street Journal’a söylediği aktarıldı. “Sektördeki meslektaşlarımız ve ilgili yetkililerle birlikte çalışarak bunu yakından izlemeye devam edeceğiz.”
En son gelişmeyle T-Mobile, AT&T, Verizon ve Lumen Technologies gibi tam kapsamlı bir siber casusluk kampanyası gibi görünen kampanyanın bir parçası olarak seçilen büyük kuruluşların listesine katıldı.
Şu ana kadar raporlarda, bu saldırıların ne derece başarılı olduğu, herhangi bir kötü amaçlı yazılımın yüklü olup olmadığı ya da ne tür bilgilerin peşinde oldukları hakkında herhangi bir bilgi yer almıyor. Salt Typhoon’un Amerikalıların hücresel veri kayıtlarına izinsiz erişimi daha önce Politico tarafından açıklanmıştı.
Geçen hafta ABD hükümeti, ticari telekomünikasyon altyapısının hedef alınmasına yönelik devam eden soruşturmanın, Çin Halk Cumhuriyeti (PRC) tarafından düzenlenen “geniş ve önemli” bir saldırıyı ortaya çıkardığını söyledi.
“ÇHC’ye bağlı aktörler, müşteri çağrı kayıt verilerinin çalınmasını, öncelikli olarak hükümet veya siyasi faaliyetle ilgilenen sınırlı sayıda kişinin özel iletişiminin tehlikeye atılmasını ve belirli bilgilerin kopyalanmasını sağlamak için birden fazla telekomünikasyon şirketinin ağlarını tehlikeye attı. Mahkeme kararları uyarınca ABD kolluk kuvvetlerinin taleplerine tabiydi” dedi.
Ayrıca, soruşturma devam ettikçe bu uzlaşmaların kapsam ve kapsamının artabileceği konusunda da uyardı.
Trend Micro’ya göre Earth Estries, FamousSparrow, GhostEmperor ve UNC2286 olarak da bilinen Salt Typhoon’un en az 2020’den beri aktif olduğu söyleniyor. Ağustos 2023’te casus ekip, Filipinler, Tayvan, Malezya, Güney Afrika, Almanya ve ABD merkezli hükümet ve teknoloji endüstrilerini hedef alan bir dizi saldırıyla bağlantılıydı.
Analiz, tehdit aktörlerinin yüklerini sistemli bir şekilde oluşturduklarını ve savunmaları atlatmak ve hedeflerine erişimi sürdürmek için yasal ve özel araç ve tekniklerin ilginç bir kombinasyonunu kullandıklarını gösteriyor.
Trend Micro araştırmacıları Ted Lee, Leon M Chang ve Lenart Bermejo, bu ayın başlarında yayınlanan kapsamlı bir analizde, “Earth Estries, araçlarını sürekli güncelleyerek ısrarını sürdürüyor ve yanal hareket ve kimlik bilgileri hırsızlığı için arka kapılar kullanıyor.” dedi.
“Veri toplama ve dışarı çıkarma Trillclient kullanılarak gerçekleştirilir; cURL gibi araçlar ise bilgileri anonimleştirilmiş dosya paylaşım hizmetlerine göndermek ve arka kapı trafiğini gizlemek için proxy’ler kullanmak için kullanılır.”
Siber güvenlik şirketi, grup tarafından kullanılan iki farklı saldırı zinciri gözlemlediğini söyledi; bu da Salt Typhoon’un cephaneliğindeki ticari becerilerin çeşitli olduğu kadar geniş olduğunu da gösteriyor. Hedef ağlara ilk erişim, dışarıya bakan hizmetlerdeki veya uzaktan yönetim yardımcı programlarındaki güvenlik açıklarından yararlanılarak kolaylaştırılır.
Bir dizi saldırıda, tehdit aktörünün, TrillClient adı verilen Go tabanlı özel bir hırsız olan Cobalt Strike gibi kötü amaçlı yazılımlar ve SparrowDoor’un bir çeşidi olan HemiGate ve Crowdoor gibi arka kapılar dağıtmak için savunmasız veya yanlış yapılandırılmış QConvergeConsole kurulumlarından yararlandığı tespit edildi. daha önce Tropic Trooper adlı Çin bağlantılı başka bir grup tarafından kullanılmıştı.
Diğer tekniklerden bazıları, arka kapılarını ve araçlarını yanal olarak yüklemek için PSExec’in kullanımını ve web tarayıcısı kullanıcı profillerinden kullanıcı kimlik bilgilerini toplamak ve bunları Basit Posta Aktarım Protokolü (SMTP) yoluyla saldırgan tarafından kontrol edilen bir Gmail hesabına sızdırmak için TrillClient’ı içerir. hedeflerini ilerletmek.
İkinci enfeksiyon dizisi ise aksine, çok daha karmaşıktır; tehdit aktörleri, daha sonra Cobalt Strike, Zingdoor ve Snappybee’yi (diğer adıyla Deed RAT) dağıtmak için kullanılan China Chopper web kabuğunu yerleştirmek için hassas Microsoft Exchange sunucularını kötüye kullanır. ShadowPad kötü amaçlı yazılımının şüpheli halefi.
“Bu ek arka kapıların ve araçların teslimi, [command-and-control] Araştırmacılar, “Bu arka kapı kurulumları da periyodik olarak değiştiriliyor ve güncelleniyor.”
“İlgili belgelerin toplanması RAR aracılığıyla yapılıyor ve cURL kullanılarak dışarı aktarılıyor, veriler anonimleştirilmiş dosya paylaşım hizmetlerine gönderiliyor.”
Saldırılarda ayrıca kimlik bilgilerini çıkarmak için NinjaCopy ve ağ keşfi ve haritalaması için PortScan gibi programlar da kullanılıyor. Ana bilgisayardaki kalıcılık, zamanlanmış görevler aracılığıyla gerçekleştirilir.
Bir vakada Salt Typhoon’un, kötü amaçlı trafiği gizlemek amacıyla kurbanın proxy sunucusunu trafiği gerçek komuta ve kontrol (C2) sunucusuna iletecek şekilde yeniden tasarladığına inanılıyor.
Trend Micro, virüs bulaşan makinelerden birinin ayrıca bir C2 sunucusu tarafından verilen ek komutları yürüten Cryptmerlin ve güvenliği ihlal edilmiş bir Exchange Sunucusu üzerinde konuşlandırılan bir İnternet Bilgi Hizmetleri (IIS) implantı olan FuxosDoor adında iki ek arka kapı barındırdığını belirtti. cmd.exe’yi kullanarak komutları çalıştırın.
Araştırmacılar, “Earth Estries’in uzun süreli siber operasyonlardaki kalıcı TTP’lerine ilişkin analizimiz, çeşitli araçlar ve arka kapılar kullanan, yalnızca teknik yetenekleri değil aynı zamanda tehlikeye atılmış ortamlarda erişim ve kontrolü sürdürmeye yönelik stratejik bir yaklaşım sergileyen karmaşık ve uyarlanabilir bir tehdit aktörünü ortaya koyuyor.” söz konusu.
“Earth Estries, kampanyaları boyunca, yeniden giriş için açıkta kalan katmanları sürekli olarak belirleyerek hedef ortamları konusunda keskin bir anlayış sergiledi. Yerleşik araçlar ve özel arka kapıların bir kombinasyonunu kullanarak, zor olan çok katmanlı bir saldırı stratejisi oluşturdular. tespit etmek ve azaltmak için.”