- 19,444
- 40
- 8 Ноя 2022
Что представляет из себя инструмент, позволивший Salt Typhoon годами оставаться в тени?
Хакерская группировка Salt Typhoon, связанная с правительством КНР, использует специальную утилиту JumbledPath для скрытого мониторинга сетевого трафика и возможного перехвата конфиденциальных данных. Основными целями атак стали американские телекоммуникационные компании.
Salt Typhoon, известная также как Earth Estries, GhostEmperor и UNC2286, действует с 2019 года, специализируясь на кибер Для просмотра ссылки Войдиили Зарегистрируйся против государственных организаций и операторов связи. В конце прошлого года американские власти Для просмотра ссылки Войди или Зарегистрируйся успешные атаки этой группы на крупнейших телеком-провайдеров США, включая Verizon, AT&T, Lumen Technologies и T-Mobile.
Расследование показало, что злоумышленники смогли Для просмотра ссылки Войдиили Зарегистрируйся к конфиденциальным коммуникациям некоторых американских чиновников, а также похитили информацию, связанную с запросами на прослушивание, санкционированными судом. В период с декабря 2024 года по январь 2025 года группа атаковала более 1000 сетевых устройств Cisco, большая часть которых находилась в США, Южной Америке и Индии.
Аналитики Cisco Talos Для просмотра ссылки Войдиили Зарегистрируйся , что в некоторых случаях атакующие сохраняли присутствие в инфраструктуре телеком-компаний более трёх лет. Основной метод проникновения — использование украденных учётных данных. Хотя также была зафиксирована единичная эксплуатация уязвимости Для просмотра ссылки Войди или Зарегистрируйся , исследователи не обнаружили признаков использования уязвимостей нулевого дня.
После проникновения хакеры расширяли свои привилегии, извлекая дополнительные учётные записи из конфигураций устройств и перехватывая аутентификационный трафик (SNMP, TACACS, RADIUS). Они также выгружали конфигурации сетевых устройств через TFTP и FTP, получая данные об учётных записях, паролях и сетевых топологиях.
Для сокрытия следов злоумышленники регулярно перемещались между сетевыми устройствами, использовали скомпрометированные узлы для выхода в другие сети и модифицировали конфигурации маршрутизаторов, включая активацию режима Guest Shell, изменение списков управления доступом (ACL) и создание скрытых учётных записей.
Одним из ключевых инструментов в арсенале Salt Typhoon стала утилита JumbledPath — вредоносное ПО на языке Go для Linux-систем, совместимое с сетевыми устройствами разных производителей, включая Cisco Nexus. Она позволяла перехватывать трафик с целевых устройств через промежуточный узел, маскируя активность под законные операции. Также JumbledPath мог отключать журналирование и стирать логи, затрудняя анализ Для просмотра ссылки Войдиили Зарегистрируйся .
Эксперты Cisco рекомендуют администраторам сетей отслеживать несанкционированную SSH-активность на нестандартных портах, аномалии в логах, включая исчезновение или резкое увеличение файлов «.bash_history», а также неожиданное изменение конфигурации сетевых устройств.
В последние годы китайские хакерские группировки активно атакуют периферийные сетевые устройства, используя вредоносное ПО для перехвата трафика, кражи учётных данных и организации прокси-серверов для дальнейших атак. В числе пострадавших — устройства Fortinet, Barracuda, SonicWall, Check Point, D-Link, Cisco, Juniper, NetGear и Sophos. Администраторам настоятельно рекомендуется своевременно устанавливать обновления безопасности, чтобы минимизировать риски взлома.
Хакерская группировка Salt Typhoon, связанная с правительством КНР, использует специальную утилиту JumbledPath для скрытого мониторинга сетевого трафика и возможного перехвата конфиденциальных данных. Основными целями атак стали американские телекоммуникационные компании.
Salt Typhoon, известная также как Earth Estries, GhostEmperor и UNC2286, действует с 2019 года, специализируясь на кибер Для просмотра ссылки Войди
Расследование показало, что злоумышленники смогли Для просмотра ссылки Войди
Аналитики Cisco Talos Для просмотра ссылки Войди
После проникновения хакеры расширяли свои привилегии, извлекая дополнительные учётные записи из конфигураций устройств и перехватывая аутентификационный трафик (SNMP, TACACS, RADIUS). Они также выгружали конфигурации сетевых устройств через TFTP и FTP, получая данные об учётных записях, паролях и сетевых топологиях.
Для сокрытия следов злоумышленники регулярно перемещались между сетевыми устройствами, использовали скомпрометированные узлы для выхода в другие сети и модифицировали конфигурации маршрутизаторов, включая активацию режима Guest Shell, изменение списков управления доступом (ACL) и создание скрытых учётных записей.
Одним из ключевых инструментов в арсенале Salt Typhoon стала утилита JumbledPath — вредоносное ПО на языке Go для Linux-систем, совместимое с сетевыми устройствами разных производителей, включая Cisco Nexus. Она позволяла перехватывать трафик с целевых устройств через промежуточный узел, маскируя активность под законные операции. Также JumbledPath мог отключать журналирование и стирать логи, затрудняя анализ Для просмотра ссылки Войди
Эксперты Cisco рекомендуют администраторам сетей отслеживать несанкционированную SSH-активность на нестандартных портах, аномалии в логах, включая исчезновение или резкое увеличение файлов «.bash_history», а также неожиданное изменение конфигурации сетевых устройств.
В последние годы китайские хакерские группировки активно атакуют периферийные сетевые устройства, используя вредоносное ПО для перехвата трафика, кражи учётных данных и организации прокси-серверов для дальнейших атак. В числе пострадавших — устройства Fortinet, Barracuda, SonicWall, Check Point, D-Link, Cisco, Juniper, NetGear и Sophos. Администраторам настоятельно рекомендуется своевременно устанавливать обновления безопасности, чтобы минимизировать риски взлома.
- Источник новости
- www.securitylab.ru
