Поделиться
Один из крупнейших американских телекомов признал себя жертвой кибершпионажа
Компания T-Mobile признала, что в ее сетях несколько месяцев орудовала китайская кибершпионская группа Salt Typhoon. Ее действия отличаются скрупулезностью и малозаметностью.
Следующий в списке
Один из крупнейших телеком-операторов США, корпорация T-Mobile, признала, что на протяжении нескольких месяцев в ее сетях хозяйничала китайская кибергруппировка Salt Typhoon, специализирующаяся на кибершпионаже.
Целью операторов Salt Typhoon был перехват сотовых коммуникаций неких «высокозначимых целей». Какой объем данных удалось перехватить и вывести шпионам, и удалось ли добыть что-либо вообще, остается на данном этапе неизвестным.
«T-Mobile пристально отслеживает эту кампанию, объектом которой стала вся отрасль, и на данный момент системам и данным T-Mobile эти атаки не нанесли сколько-нибудь значительного ущерба, как нет у нас и свидетельств тому, что пользовательские данные были скомпрометированы. Мы продолжим отслеживать ситуацию вместе с коллегами по отрасли и соответствующими органами власти» — цитирует пресс-службу T-Mobile издание Wall Street Journal.
T-Mobile пополнила список телеком-операторов, атакованных китайскими кибершпионскими группами: от них также пострадали AT&T, Verizon, Lumen Technologies и другие.
Ни одна из этих компаний, впрочем, не спешит признавать атаки успешными, и остается неясным, какую именно информацию искали операторы Salt Typhoon и удалось ли им установить какое-либо вредоносное ПО, сверх того, что они использовали в ходе атак.
Правительство США на прошлой неделе выпустило заявление, в котором прямо возлагает ответственность за атаки на КНР. Как утверждается, скомпрометировавшие телеком-сети хакеры занимались кражей записей о сделанных звонках, компрометацией частных коммуникаций «ограниченного числа лиц, которые активно вовлечены в политическую деятельность и работу правительства». Кроме того, хакеры копировали «определенную информацию, которая предназначалась для правоохранительных органов США в соответствии с решением судебных органов».
Шпионы экстра-класса
Salt Typhoon, также известная под условными названиями Earth Estries, FamousSparrow, GhostEmperor и UNC2286, активна, по данным Trend Micro, с 2020 г. В августе 2023 г. Salt Typhoon увязали с серией атак на правительственные структуры и технологические отрасли на территориях Филиппин, Тайваня, Малайзии, ЮАР, Германии и США.
Деятельность группировки отличает скрупулезность, а также активное использование комбинации легитимных инструментов и специально созданных для атак хакерских утилит.
«Earth Estries обеспечивают постоянство присутствия путем непрерывного обновления своих инструментов, а также использования бэкдоров для скрытного перемещения и кражи реквизитов доступа» — писали эксперты Trend Micro. «Сбор и вывод данных осуществляется посредством Trillclient, а такие инструменты как cURL применяются для отправки информации на анонимизированные файлообменные службы, с использованием прокси, чтобы замаскировать трафик, исходящий от бэкдоров».
Trillclient — это инфостилер, написанный на языке Go.
Изначальную компрометацию целевой сети операторы кампании получают через эксплуатацию уязвимостей в доступных извне сервисах или утилитах для дистанционного управления (таких, как диспетчерские панели и административные интерфейсы).
Многосоставная стратегия
Эксперты Trend Micro описали две характерные комбинации атак, осуществляемые Salt Typhoon/Earth Estries.
В ходе первой злоумышленники эксплуатировали уязвимые или слабо настроенные инсталляции QConvergeConsole, и устанавливали в скомпрометированные системы Cobalt Strike, Trillclient, а также бэкдоры HemiGate и CrowDoor. Последний представляет собой вариант бэкдора SparrowDoor, прежде применявшегося другой китайской кибергруппировкой — Tropic Trooper.
В некоторых случаях злоумышленники использовали утилиту PSExec для скрытной установки своих бэкдоров и других инструментов, и использовали TrillClient для сбора реквизитов доступа из пользовательских веб-браузера. Все эти данные выводятся через протокол SMTP на почтовый адрес в домене Gmail.com, контролируемый операторами кампании.
Вторая комбинация выглядит существенно сложнее: операторы Salt Typhoon компрометируют уязвимые серверы Microsoft Exchange и устанавливают на них веб-шеллы China Chopper. Те, в свою очередь, используются для доставки Cobalt Strike и RAT-вредоносов Zingdoor и Snappybee/DeedRAT. Последний, возможно, является развитием вредоноса ShadowPad.
«Доставка дополнительных вредоносов и бэкдоров осуществляется либо через контрольный сервер или через cURL, что позволяет выкачивать их на серверы под управлением операторов кампании. Эти бэкдоры время от времени переустанавливаются или обновляются» — говорится в исследовании Trend Micro. Вывод документов, представляющих интерес, производится через RAR и cURL, причем данные отправляются на анонимизированные файлообменные сервисы.
В ходе атак наблюдалось также использование таких программ, как NinjaCopy или PortScan для разведки сетевого окружения. Постоянство присутствия обеспечивается системным планировщиком задач.
В одном случае Salt Typhoon перенастроили прокси-сервер жертвы так, что весь трафик перенаправлялся непосредственно на контрольный сервер операторов кампании.
В одной из зараженных машин также выявили два дополнительных бэкдора — Cryptmerlin и FuxosDoor. Первый выполняет дополнительные команды, получаемые с контрольного сервера, второй также настроен на выполнение команд, но не напрямую, а через cmd.exe. FuxosDoor представляет собой имплант для службы Internet Information Services, который устанавливается на скомпрометированный сервер Exchange.
Эксперты Trend Micro указывают, что хакеры каждый раз очень хорошо знали, что из себя представляют атакуемые среды, и постоянно находили новые способы повторного проникновения. «Многослойная стратегия» сделала обнаружение и отражение атак весьма проблематичным делом.
«Действия кибершпионов практически гарантированно будут иметь высокий КПД» — считает Анастасия Мельникова, директор по информационной безопасности компании SEQ. «Такие APT-группы отличаются от финансово-мотивированных злоумышленников тем, что они не будут искать более легких целей, если им поставлена задача скомпрометировать конкретную организацию. Соответственно, стратегия противодействия им должна быть также многосоставной, непрерывной и проактивной, а не только реактивной».
Эксперт добавила, что только при таком подходе есть шанс оперативно обнаружить угрозу, а не через несколько месяцев после того, как в системе обосновались недружественные элементы.
Поделиться
Короткая ссылка
