Badan Keamanan Nasional AS (NSA), Pusat Keamanan Cyber Nasional (NCSC) di Inggris, dan mitra dari lebih dari selusin negara telah mengaitkan kampanye peretasan global Topan Garam dengan tiga perusahaan teknologi yang berbasis di China.
Menurut nasihat bersama[[NSA, NCSC]Sichuan Juxinhe Network Technology Co. Ltd., Beijing Huanyu Tianqiong Teknologi Informasi Co., dan Sichuan Zhixin Ruijie Network Technology Co. Ltd. telah menyediakan produk dan layanan cyber untuk Kementerian Keamanan Negara dan Tuan Pembebasan Rakyat.
Sejak setidaknya tahun 2021, para aktor ancaman Tiongkok telah melanggar pemerintahan, telekomunikasi, transportasi, penginapan, dan jaringan militer di seluruh dunia, mencuri data yang dapat digunakan untuk melacak komunikasi dan pergerakan target di seluruh dunia.
Secara khusus, selama beberapa tahun terakhir, topan garam telah dilakukan serangan bersama terhadap perusahaan telekomunikasi untuk memata -matai komunikasi pribadi individu di seluruh dunia.
BleepingComputer menghubungi kedutaan Cina tentang klaim ini dan akan memperbarui cerita jika kami menerima tanggapan.
Menargetkan peralatan jaringan
A Penasihat Bersama Oleh agen cyber dan intelijen di 13 negara memperingatkan bahwa para aktor ancaman telah memiliki “keberhasilan yang cukup” mengeksploitasi kelemahan yang diketahui secara luas dan tetap pada perangkat tepi jaringan daripada mengandalkan zero-days.
Kerentanan ini meliputi:
- CVE-2024-21887 (Ivanti Connect Secure Command Injection),
- CVE-2024-3400 (Polo alto pan-os global protect rCE),
- CVE-2023-20273 Dan CVE-2023-20198 (Cisco IOS XE Otentikasi Bypass dan Eskalasi Privilege)
- CVE-2018-0171 (Cisco Smart Install RCE).
Dengan menggunakan kelemahan ini, para aktor ancaman mendapatkan akses ke perutean dan perangkat jaringan, memungkinkan mereka untuk memodifikasi daftar kontrol akses, mengaktifkan SSH pada port non-standar, membuat terowongan GRE/IPSec, dan mengeksploitasi wadah cangkang tamu Cisco untuk mempertahankan kegigihan.
“Para aktor APT dapat menargetkan perangkat tepi terlepas dari siapa yang memiliki perangkat tertentu,” jelas laporan bersama.
“Perangkat yang dimiliki oleh entitas yang tidak selaras dengan target inti inti para aktor masih menghadirkan peluang untuk digunakan dalam jalur serangan ke dalam target yang diminati. Para aktor memanfaatkan perangkat yang dikompromikan dan koneksi tepercaya atau interkoneksi swasta (misalnya, penyedia-ke-penyedia atau tautan penyedia-ke-pelanggan) untuk memutar jaringan lain.”
Mereka juga mengumpulkan penangkapan paket dari lalu lintas otentikasi, mengarahkan server TACACS+, dan menggunakan alat SFTP berbasis Golang khusus (“CMD1,” “CMD3,” “New2,” dan “SFT”) untuk memantau lalu lintas dan mencuri data.
Karena banyak dari kerentanan ini memiliki perbaikan yang tersedia untuk beberapa waktu, baik organisasi NCSC dan NSA mendesak untuk memprioritaskan perangkat penambalan terlebih dahulu, kemudian pengerasan konfigurasi perangkat, memantau perubahan yang tidak sah, dan mematikan layanan yang tidak digunakan.
Juga disarankan agar Admins membatasi layanan manajemen untuk jaringan khusus, menegakkan protokol yang aman seperti SSHV2 dan SNMPV3, dan menonaktifkan Cisco Smart Instal dan Shell Tamu di mana tidak diperlukan.
Cisa memiliki sebelumnya diperingatkan bahwa administrator harus menonaktifkan fitur Legacy Cisco Smart Install (SMI) setelah mengamati itu disalahgunakan dalam serangan oleh aktor ancaman Cina dan Rusia.
Admin juga disarankan untuk secara aktif mencari tanda-tanda kompromi, karena kampanye memanfaatkan kelemahan yang diketahui daripada zero-days yang sunyi.
Aktivitas masa lalu Topan Garam
Nasihat baru mengikuti serangan topan garam selama bertahun -tahun terhadap penyedia telekomunikasi dan entitas pemerintah.
Grup sebelumnya melanggar pembawa besar AStermasuk AT&T, Verizon, dan Lumen, mendapatkan akses ke komunikasi sensitif seperti pesan teks, voicemail, dan bahkan Sistem penyadapan penegakan hukum AS.
Pelanggaran ini menyebabkan FCC untuk memesan telekomunikasi untuk mengamankan jaringan mereka Di bawah Undang-Undang Bantuan Komunikasi untuk Penegakan Hukum (CALEA) dan menyerahkan sertifikasi tahunan yang mengkonfirmasi bahwa mereka memiliki rencana manajemen risiko cybersecurity terkini.
Topan garam juga mengeksploitasi kerentanan Cisco IOS XE yang belum ditandingi Infiltrasi lebih banyak kita Dan Telekomunikasi Kanadadi mana mereka mendirikan terowongan GRE untuk akses yang persisten dan mencuri data konfigurasi.
Aktor ancaman menggunakan a malware khusus yang dikenal sebagai Jumbledpath untuk memantau dan menangkap lalu lintas dari jaringan telekomunikasi.
Selain pelanggaran telekomunikasi, Topan Garam dikaitkan dengan pelanggaran sembilan bulan dari Jaringan Penjaga Nasional Angkatan Darat AS pada tahun 2024, di mana mereka mencuri file konfigurasi dan kredensial administrator yang dapat digunakan untuk mengkompromikan jaringan pemerintah lainnya.
