2024’ün sonlarında, küresel telekomünikasyon altyapısını hedefleyen yeni bir siber casusluk dalgası ortaya çıktı. Takma ad altında çalışır Tuz tayfasıÇin devlet destekli bu grup, çabalarını yönlendiriciler, güvenlik duvarları, VPN ağ geçitleri ve büyük telekom sağlayıcılarındaki yasal kesişme sistemlerine odakladı.
Ismarlama ürün yazılımı implantlarını yerleştirerek ve karadan ikili ikili dosyalardan yararlanarak Typhoon, hassas iletişim meta verilerini, VoIP konfigürasyonlarını ve abone profillerini sifonlayabilen kalıcı erişim sağladı.
Grubun hedefleri stratejik Çin istihbarat öncelikleri ile uyumlu: İstihbarat (SIGINT) koleksiyonu, karşı istihbarat desteği ve potansiyel siber bozulma operasyonlarının hazırlanması.
Tuz tayfun kampanyaları, hem ağ kenar cihazlarındaki kamuya açık güvenlik açıklarından hem de yönetim arayüzlerindeki yanlış yapılandırmalardan yararlanmaktadır. Başlangıç erişimi genellikle IVanti Connect Güvenli cihazlarda CISCO IOS XE ve CVE-2023-35082’de CVE-2023-20198 gibi yönlendirici web arayüzlerinin kullanımı yoluyla kazanılır.
Bu cihazları ihlal ettikten sonra, düşman özel bir ürün yazılımı rootkit dağıtır – içsel olarak adlandırılmış Demodex– Reboot’lardan kurtulur ve standart algılama mekanizmalarından kaçar.
Domaintools analistleri, tuz typhoon’un altyapısını destekleyen belirgin alan kayıt kalıplarını belirledi ve WHOIS girişleri için fabrikasyon ABD’li kişilerin ve protonmail hesaplarının kullanımına, devlet destekli bir aktör için operasyonel güvenlikte olağandışı bir hızlanma olduğunu belirtti.
.webp)
Bir kez implante edildikten sonra, kötü amaçlı yazılım, TCP bağlantı noktası 443’te DNS Beacons veya HTTP’ler üzerinden şifreli komut ve kontrol kanalları oluşturur.
Düzenli işaret aralıkları, normal ağ trafiğine karışarak rutin ürün yazılımı güncelleme kontrolleri olarak gizlenir. Sunmuş veriler, yasal kesişme günlükleri, çağrı detay kayıtları (CDR’ler) ve kenar yönlendiricilerinden yapılandırma dökümlerini içerir.
Amerika Birleşik Devletleri, Birleşik Krallık ve birkaç Avrupa ülkesindeki telekomünikasyon sağlayıcıları, bu implantlarla tutarlı olağandışı giden trafiği bildirmiş ve MSS’nin (Devlet Güvenliği Bakanlığı) kullanıcı iletişim kalıpları ve ağ topolojileri üzerinde yüksek değerli zeka hasat etmesini sağlar.
Operasyon Etkisi
Bu işlemlerin etkisi ham veri hırsızlığının ötesine uzanmaktadır. Kritik cihazlarda uzun süredir devamsızlık, saldırganlara jeopolitik krizler sırasında iletişimleri sabote etme veya yeniden yönlendirme yeteneği verir.
Çekirdek yönlendiricilere arka kapı erişimini koruyarak, tuz tayfası SIP trafiğini bozabilir veya yanlış yönlendirme girişlerini enjekte edebilir, potansiyel olarak aşağılayarak veya müttefik savunma ve hükümet ağlarında ek casusluk sağlayabilir.
Bu casusluk ve beklenmedik durum planlaması, kampanyanın çift kullanımlı doğasının altını çiziyor: gizli saldırı yetenekleri ile tamamlanan günlük istihbarat koleksiyonu.
Daha derin bir bakış Enfeksiyon mekanizması Tuz Typhoon’un sömürüsü ve implant dağıtımının hassasiyetini ortaya çıkarır.
Grubun mühendisleri, kötü niyetli ikili dosyaları yazmak için yönlendiricinin kendi komut kabuğundan yararlanan minimalist bir yükleyici hazırladılar. /usr/bin/ ve başlangıç komut dosyalarını değiştirin.
Örneğin, bir ardıç cihazının konfigürasyonuna enjekte edilen tipik bir kalıcılık snippet’i şu şekilde görünebilir:-
# Inject persistence into startup script
echo "/usr/bin/demodex_loader &" >> /etc/rc.d/rc.local
chmod +x /usr/bin/demodex_loader
/usr/bin/demodex_loader --install --target=/dev/mtd0Bu kod, yükleyici çağrısını yönlendiricinin önyükleme sırasına yazar ve rootkit’i flash belleğe yanıp söner. Yükleyici, ürün yazılımı sürümünü doğrular ve cihazın tuğlasını önlemek için uygun bellek ofsetlerini seçer.
Yürütüldükten sonra Demodex, düşük seviyeli sistem çağrılarını, konfigürasyon okumalarını kesme ve varlığını gizlemek için çağrılar, sonraki ürün yazılımı güncellemelerinin manuel müdahale olmadan kaldırmamasını sağlar.
Bilinen CVE’lerin, gizli ürün yazılımı implantlarının ve yüklenici özellikli alan altyapısının hedefli sömürüsünü birleştirerek, tuz tayfası, Çin’in telekomünikasyon ağlarına karşı gelişen siber casusluk yeteneklerinin sofistike bir örneğini temsil eder.
Kampanyanın operasyonel modeli-devlete yönelik görev ile eşleştirilmiş ekstrojen altyapı sağlama-atıf ve savunma için önemli zorluklar yaratıyor, ancak savunuculara aktif sömürü başlamadan önce ortaya çıkan alanları ve sertifika alımlarını bozma fırsatları sunuyor.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
