Китайские хакеры атакуют телекоммуникационные сети по всему миру для глобального шпионажа

Киберпреступники из Китая проводят масштабные атаки на критическую инфраструктуру по всему миру, включая телекоммуникационные компании, правительственные учреждения, транспортные системы и военные сети. Об этом совместно предупредили агентства кибербезопасности из более чем 20 стран, включая США, Великобританию, Канаду, Австралию и страны Евросоюза.

Описание

Согласно опубликованному консультативному отчету Cybersecurity and Infrastructure Security Agency (CISA), Advanced Persistent Threat (APT, продвинутая постоянная угроза) акторы, связанные с Китаем, нацеливаются на магистральные маршрутизаторы крупных телекоммуникационных провайдеров. Злоумышленники используют уязвимости в сетевом оборудовании для получения долгосрочного доступа к сетям и последующего перемещения между системами.

Действия этих акторов частично совпадают с активностью групп, известных в индустрии кибербезопасности как Salt Typhoon, OPERATOR PANDA, RedMike, UNC5807 и GhostEmperor. Аналитики отмечают, что атаки фиксируются с 2021 года и связаны с китайскими компаниями, включая Sichuan Juxinhe Network Technology Co. Ltd., которые предоставляют киберуслуги разведывательным службам Китая.

Технический анализ показывает, что злоумышленники активно используют известные уязвимости в сетевых устройствах, включая недавние критические уязвимости в продуктах Ivanti (CVE-2024-21887), Palo Alto Networks (CVE-2024-3400) и Cisco (CVE-2023-20273, CVE-2023-20198). В отличие от некоторых других государственных акторов, использование уязвимостей нулевого дня не наблюдалось.

Для сохранения доступа к скомпрометированным сетям злоумышленники применяют различные техники: изменяют списки контроля доступа (ACL), открывают нестандартные порты, настраивают туннели шифрования и используют встроенные возможности сетевых устройств для захвата трафика. Особую озабоченность вызывает перехват аутентификационного трафика TACACS+ и RADIUS, что позволяет акторам получать учетные данные администраторов сетей.

Эксперты отмечают, что собранные данные в конечном итоге предоставляют китайским спецслужбам возможность отслеживать коммуникации и перемещения целевых объектов по всему миру. Утечка конфигурационной информации сетевых устройств также позволяет злоумышленникам понимать архитектуру сетей и планировать последующие атаки.

Международные агентства кибербезопасности рекомендуют организациям, особенно телекоммуникационным компаниям, провести активный поиск угроз в своих сетях. Ключевые рекомендации включают мониторинг изменений конфигурации сетевых устройств, проверку виртуализированных контейнеров, аудит сетевых сервисов и туннелей, контроль целостности прошивок и тщательный анализ логов.

Специалисты подчеркивают важность координации защитных мер перед отключением компрометированных систем, чтобы избежать предупреждения злоумышленников о обнаружении их активности. Частичные ответные действия могут привести к тому, что акторы скроют свое присутствие и сохранят доступ к другим скомпрометированным сетям.

Организациям рекомендуется предоставлять информацию о компрометации соответствующим органам для улучшения понимания масштабов и методов атак. Совместные усилия международного сообщества позволяют более эффективно противостоять растущим киберугрозам со стороны государственных акторов.

Индикаторы компрометации

IPv4

1.222.84.29
103.168.91.231
103.199.17.238
103.253.40.199
103.7.58.162
104.194.129.137
104.194.147.15
104.194.150.26
104.194.153.181
104.194.154.150
104.194.154.222
107.189.15.206
14.143.247.202
142.171.227.16
144.172.76.213
144.172.79.4
146.70.24.144
146.70.79.68
146.70.79.81
164.82.20.53
167.88.164.166
167.88.172.70
167.88.173.158
167.88.173.252
167.88.173.58
167.88.175.175
167.88.175.231
172.86.101.123
172.86.102.83
172.86.106.15
172.86.106.234
172.86.106.39
172.86.108.11
172.86.124.235
172.86.65.145
172.86.70.73
172.86.80.15
190.131.194.90
193.239.86.132
193.239.86.146
193.43.104.185
193.56.255.210
212.236.17.237
23.227.196.22
23.227.199.77
23.227.202.253
37.120.239.52
38.71.99.145
43.254.132.118
45.125.64.195
45.125.67.144
45.125.67.226
45.146.120.210
45.146.120.213
45.59.118.136
45.59.120.171
45.61.128.29
45.61.132.125
45.61.133.157
45.61.133.31
45.61.133.61
45.61.133.77
45.61.133.79
45.61.134.134
45.61.134.223
45.61.149.200
45.61.149.62
45.61.151.12
45.61.154.130
45.61.159.25
45.61.165.157
5.181.132.95
59.148.233.250
61.19.148.66
63.141.234.109
63.245.1.13
63.245.1.34
74.48.78.116
74.48.78.66
74.48.84.119
85.195.89.94
89.117.1.147
89.117.2.39
89.41.26.142
91.231.186.227
91.245.253.99

MD5

33e692f435d6cf3c637ba54836c63373
eba9ae70d1b22de67b0eba160a6762d8

SHA256

8b448f47e36909f3a921b4ff803cf3a61985d8a10f0fe594b405b92ed0fc21f1
a1abc3d11c16ae83b9a7cf62ebe6d144dfc5e19b579a99bad062a9d31cf30bfe
da692ea0b7f24e31696f8b4fe8a130dbbe3c7c15cea6bde24cccc1fb0a73ae9e
f2bbba1ea0f34b262f158ff31e00d39d89bbc471d04e8fca60a034cabe18e4f4

Yara

rule SALT_TYPHOON_CMD1_SFTP_CLIENT {

meta:

description = "Detects the Salt Typhoon Cmd1 SFTP client. Rule is meant for threat hunting."

strings:

$s1 = "monitor capture CAP"

$s2 = "export ftp://%s:%s@%s%s"

$s3 = "main.CapExport"

$s4 = "main.SftpDownload"

$s5 = ".(*SSHClient).CommandShell"

$aes = "aes.decryptBlockGo"

$buildpath = "C:/work/sync_v1/cmd/cmd1/main.go"

condition:

(uint32(0) == 0x464c457f or (uint16(0) == 0x5A4D and

uint32(uint32(0x3C)) == 0x00004550) or ((uint32(0) == 0xcafebabe)

or (uint32(0) == 0xfeedface) or (uint32(0) == 0xfeedfacf)

or (uint32(0) == 0xbebafeca) or (uint32(0) == 0xcefaedfe)

or (uint32(0) == 0xcffaedfe)))

and 5 of them

}

rule SALT_TYPHOON_NEW2_SFTP_CLIENT {

meta:

description = "Detects the Salt Typhoon New2 SFTP client. Rule is meant for threat hunting."

strings:

$set_1_1 = "invoke_shell"

$set_1_2 = "execute_commands"

$set_1_3 = "cmd_file"

$set_1_4 = "stop_event"

$set_1_5 = "decrypt_message"

$set_2_1 = "COMMANDS_FILE"

$set_2_2 = "RUN_TIME"

$set_2_3 = "LOG_FILE"

$set_2_4 = "ENCRYPTION_PASSWORD"

$set_2_5 = "FIREWALL_ADDRESS"

$set_3_1 = "commands.log"

$set_3_2 = "Executing command: {}"

$set_3_3 = "Connecting to: {}"

$set_3_4 = "Network sniffer script."

$set_3_5 = "tar -czvf - {0} | openssl des3 -salt -k password -out {0}.tar.gz"

$set_required = { 00 70 61 72 61 6D 69 6B 6F }

condition:

$set_required and 4 of ($set_1_*) and 4 of ($set_2_*)

and 4 of ($set_3_*)

}

Snort rule

alert tcp any any -> any $HTTP_PORTS (msg:"Potential CVE-2023-20198 exploit attempt - HTTP Request to Add Privilege 15 User Detected"; content:"POST"; http_method; pcre:"/(webui_wsma|%2577ebui_wsma|%2577eb%2575i_%2577sma)/i"; http_uri; content:"<request xmlns=\"urn:cisco:wsma-config\" correlator=\"execl\">"; http_client_body; content:"<configApply details=\"all\">"; http_client_body; content:"<config-data>"; http_client_body; content:"<cli-config-data-block>"; http_client_body; content:"username"; http_client_body; content:"privilege 15"; http_client_body; content:"secret"; http_client_body; sid:1000003; rev:1;)