Salt Typhoon — спонсируемая государством APT-группа, тесно связанная с Министерством государственной безопасности (MSS), действует как минимум с 2019 года. Ее основная задача — долгосрочный кибершпионаж против глобальной телекоммуникационной инфраструктуры с использованием сложных методов компрометации периферийных сетевых устройств и сервисов.
«Группа умело поддерживает закрепление в целевых сетях, извлекая конфиденциальные метаданные о коммуникациях, конфигурации VoIP, данные законного перехвата и профили абонентов…»
Кто стоит за операциями
Оперативная структура Salt Typhoon указывает на централизованную программу кибершпионажа, осуществляемую MSS. Анализ показал, что группа использует гибридную модель, где государственные цели реализуются через комбинацию внутренних операторов и подрядных компаний, что повышает масштабируемость операций и обеспечивает элемент правдоподобного отрицания.
- Выявленные фирмы-подрядчики: Sichuan Juxinhe Network Technology и Beijing Huanyu Tianqiong Information Technology. Они выступают в роли технической поддержки и операционного прикрытия для инициатив MSS.
- Ключевые лица, публично обвинённые и санкционированные США: Инь Кэчэн и Чжоу Шуай. Инь, в частности, был связан с управлением или руководством вторжениями в телекоммуникационные сети США.
Тактика, техники и процедуры (TTP)
Salt Typhoon предпочитает периметрические и периферийные объекты сети, поскольку они одновременно дают постоянный доступ и позволяют собирать ценные данные. Среди характерных элементов кампаний:
- Целенаправленное извлечение метаданных коммуникаций, конфигураций VoIP, данных lawful intercept и профилей абонентов у поставщиков телекоммуникационных услуг и смежных секторов критической инфраструктуры.
- Развертывание модульной domain-инфраструктуры и массовая регистрация доменов (не менее 45 доменов в 2020–2025 гг.).
- Использование коммерческих SSL-сертификатов DV от признанных CA (GoDaddy, Sectigo) для повышения легитимности инфраструктуры — вместо бесплатных сервисов.
- Внедрение вредоносного ПО с регулярными интервалами beaconing, шифрованными сообщениями и маскировкой трафика под легитимные обновления сервисов.
- Цели: преимущественно телекоммуникационные и военные сети.
Особенности инфраструктуры и уязвимости в операциях группы
Анализ DNS-записей и шаблонов регистрации доменов показывает ряд системных слабостей в подходе группы, которые могут быть использованы защитниками:
- Кластеризация DNS: многие домены управляются через централизованного провайдера услуг — это повышает риск обнаружения и связывания активов между собой.
- Использование имен пользователей и тематик, явно ориентированных на США, — повышает вероятность корреляции и расследования активностей.
- Отказ от анонимных/бесплатных сертификатов в пользу DV-сертификатов коммерческих CA делает инфраструктуру более «легитимной», но при этом оставляет следы в системе выдачи сертификатов, которые можно логировать и анализировать.
Юридические и политические последствия
Публичные обвинения и санкции против ключевых фигур (Инь Кэчэн, Чжоу Шуай) демонстрируют, что операции Salt Typhoon рассматриваются как деятельность на государственной службе. Их связывают с экосистемой подрядчиков, поддерживающей MSS, что иллюстрирует сращивание государственных задач и частных исполнителей в области кибершпионажа.
Что это значит для защитников
Несмотря на попытки группы скрыть следы, ряд предсказуемых шаблонов и технических выборов создают возможности для обнаружения и нейтрализации кампаний:
- Мониторинг выдачи DV-сертификатов от GoDaddy, Sectigo и других CA на предмет массовых регистраций, связанных с телеком-именами.
- Анализ кластеров DNS и провайдеров управления доменами для выявления доменно-инфраструктурных связей.
- Повышенное внимание к периферийным устройствам (edge devices) у поставщиков телеком-услуг: регулярный аудит конфигураций VoIP, проверки целостности компонентов lawful intercept и профилей доступа.
- Корреляция индикаторов компрометации (IOC) с активностями, связанными с выявленными подрядчиками и именами лиц, попавших под санкции.
Рекомендации
Salt Typhoon демонстрирует, что государственные кибероперации легко масштабируются при участии частных подрядчиков. Для снижения рисков следует:
- Усилить мониторинг и логирование выдачи SSL-сертификатов и массовых регистраций доменов, особенно связанных с телеком-терминами.
- Проводить регулярные аудиты периферийных устройств и механизмов lawful intercept у телеком-операторов.
- Обмениваться разведданными между поставщиками услуг, отраслевыми ISAC и правоохранительными органами для быстрой корреляции и блокировки инфраструктуры C2.
- Внедрять поведенческий анализ для обнаружения аномалий в трафике, маскируемом под легитимные обновления.
Вывод
Salt Typhoon — пример устойчивого, централизованно управляемого кибершпионажа, где MSS использует партнерства с подрядчиками для достижения стратегических целей против критической телеком-инфраструктуры. Несмотря на высокий уровень мастерства группы, повторяющиеся шаблоны в доменной и сертификатной инфраструктуре, а также характерная ориентация на периферию сетей дают защитникам конкретные опорные точки для обнаружения и срыва кампаний.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Salt Typhoon — спонсируемая государством APT против глобальной телекоммуникационной инфраструктуры".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.