Çin devlet destekli siber tehdit grubu tuz tayfası, son yasal ve istihbarat raporlarına göre, küresel telekomünikasyon altyapısına karşı uzun vadeli casusluk operasyonlarını yoğunlaştırdı.
Eyalet Güvenliği Bakanlığı (MSS) ve en az 2019’dan beri aktif olan Salt Typhoon, derin kalıcılık oluşturmak ve son derece hassas iletişim meta verileri, VOIP konfigürasyonları, yasal kesişme verileri ve büyük telekom sağlayıcılardan abone profilleri ve bitişik kritik kırılgan dünyalardan gelen abcriber profillerini sistematik olarak kullandı.
Salt Typhoon, doğrudan MSS gözetimi altında faaliyet göstermektedir, ön şirketlerin ve devlet bağlantılı yüklenicilerin hibrit bir ekosistemini kullanır-en önemlisi I-Soon (Ankssun Information Technology Co., Ltd.)-Atıfları belirlemek için.
Kamu iddianameleri ve istihbarat danışmanları, tuz tayfunun, saldırgan siber operasyonları kolaylaştıran kiralık altyapı, teknik destek ve alan kayıt boru hatları sağlayan I-Soon ile operasyonel bağları sürdürdüğünü ortaya koymaktadır.
Grubun hedefleme profili, bir düzineden fazla ABD telekom firmasında, birden fazla Ulusal Muhafız ağı ve müttefik iletişim sağlayıcılarında onaylanmış ihlallerle ABD, Birleşik Krallık, Tayvan ve Avrupa Birliği eyaletlerini kapsıyor.
Çin’in daha geniş siber zeka mimarisinde, tuz tayfası, Microsoft tarafından tanıtılan ve hayalet İmparator, Ünlüsparrow, Earth Estrie ve UNC2286 olarak bilinen kümelerle örtüşen “Typhoon” taksonomisinin altına düşüyor.
UNC4841 ile teknik benzerlikler daha fazla bulanık ilişkilendirme sınırları. Kendisini MSS’ye bağlı diğer aktörlerden ayıran Salt Typhoon, özellikle uzun vadeli sinyaller istihbarat (Sigint) koleksiyonu için telekomünikasyon altyapısına odaklanır, özel yönlendirici implantlarını ve ürün yazılımı rootkits’i kalıcı erişimi sürdürmek için yerleştirir.
Altyapı ve Tradecraft
Salt Typhoon’un kampanyalarında ısmarlama kötü amaçlı yazılım, kara geçirme ikili dosyaları (lolbins) ve gizli yönlendirici implantları kullanıyor.
Tuz tayfası, sadece saldırı kampanyalarının gevşek bir koleksiyonunu değil, aynı zamanda Çin Halk Cumhuriyeti’nin (PRC) operasyonel aygıtına yerleştirilmiş devlete yönelik bir siber casusluk programını temsil eder.
Tradecraft analizi, fabrikasyon ABD’li kişilere ve protonmail e -posta hesaplarına kayıtlı halka açık izlenebilir alanların tutarlı kullanımını göstermektedir;
2020 ve 2025 yılları arasında grup, Monica Burch, Shawn Francis ve Larry Smith gibi isimleri kullanarak en az 45 alan kaydetti ve genellikle Miami veya Illinois adreslerini listeledi.
Bu alan adları, Value-Domain.com ve Lipbox gibi paylaşılan DNS ana bilgisayarlarına karar verir ve Godaddy ve Sectigo tarafından verilen ticari DV SSL sertifikalarından yararlanır.
DNS kümeleme ve SSL sertifikası örtüşüyor Tekrarlanabilir Altyapı Desenleri: Merkezi Etki Alanı Sağlama, Parti Sertifikası Verimi ve Ortak Ad Sunucusu ana bilgisayarları.
Salt Typhoon’un ücretsiz hizmetler yerine ticari sertifikaları kullanma kararı, sezgisel incelemeden kaçınmayı ve iç trafik modellerine karışmayı amaçlamaktadır.
Güvenilirliğe ulaşmasına rağmen, bu öngörülebilir şablonlar, savunuculara atıf pivotları sağlar ve pasif DNS kümeleme, sertifika izleme ve kayıt şirketi telemetrisinin aktif müdahalelere dönüşmeden önce gelecekteki işlemleri bozmasını sağlar.
Stratejik çıkarımlar
Salt Typhoon, Çin’in gelişen yüklenici özellikli siber casusluk modelini örneklendirir ve devlet görevini yarı özel ticari tradecraft ile harmanlar.
Grubun sanayileşmiş alan yönetimi ve kalıcı Edge Cihaz implantları çift kullanım hedeflerini desteklemektedir: günlük istihbarat toplama ve potansiyel savaş zamanı aksaması için beklenmedik durum planlaması.
MSS, Sichuan Juxinhe, Pekin Huanyu Tianqiong ve Sichuan Zhixin Ruijie gibi ön şirketlere altyapı sağlama sağlayarak, hukuki ve diplomatik kontra maddeleri karmaşıklaştırarak ölçeklenebilirlik ve makul bir inkar edilebilirliği elde eder.
Telekom operatörleri ve hükümet savunucuları için aşağıdaki önlemler çok önemlidir: fabrikasyon kişilerin erken tespiti için temel pasif DN’ler ve sertifika telemetrisi; Ağ ekipmanı güncelleme hizmetlerine bağlı protonmail tabanlı kayıtları izleyin; Yönlendirici ve VPN Gateway ürün yazılımı davranışına anomali algılama dağıtım; ve beş göz ve müttefik ağdaki bilinen tuz tayfun uzlaşma göstergeleri (IOC) üzerinde tehdit istihbaratını paylaşın.
Endüstri, akademi ve hükümet arasındaki gelişmiş işbirliği, tespit imzalarını daha da geliştirebilir ve grubun eleştirel iletişim altyapısına uzun süredir erişimini azaltabilir.
Salt Typhoon’un operasyonel sofistike ve tekrarlanabilir tradecraft karışımı, modern devlet destekli siber operasyonlarda ölçeklenebilirlik ve gizlilik arasındaki gerilimi vurgular.
Yöntemleri herkese açık olarak ortaya çıkmış olsa da, grup yüksek hedefli SIGINT koleksiyonuna sahip olmaya devam etmektedir. Devam eden uyanıklık, altyapı izleme ve işbirlikçi tehdit avı, bu ileri MSS’ye yönelik casusluk programına karşı en iyi savunmayı temsil ediyor.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.