Cybuloviny 1/25

大家好!První Cybuloviny nového roku jsou plně v režii čínských kyberšpionážních útoků na americké instituce. Obzvláště napilno měli na Ministerstvu financí USA. Nejdříve vyšlo najevo, že se jejich systémy staly cílem skupiny Silk Typhoon a o několik dní později Ministerstvo uvalilo sankce na čínskou firmu Integrity Technology za podporu škodlivých aktivit aktéra známého jako Flax Typhoon. Oba případy prozatím nejsou propojené, ale zájem útočníků o odbory Ministerstva, které se zabývají sankčními programy, naznačují souvislost. Do třetice se věnujeme novému vývoji v rozsáhlé kompromitaci telekomunikačního sektoru v USA aktérem Salt Typhoon.

Příjemné čtení!

Tým Cybule

Edit (10.1.2025): úvodní text a článek o kompromitaci Ministerstva financí USA jsme aktualizovali o identifikaci skupiny Silk Typhoon jako možného útočníka

Obsah:

  • USA vs. Čína: Sankce na společnost Integrity Technology Group za kybernetické útoky Flax Typhoon
  • Ministerstvo financí USA cílem čínské kyberšpionážní kampaně
  • Seznam obětí Salt Typhoon se rozrostl o další mobilní operátory

Sankce na společnost Integrity Technology Group za kybernetické útoky Flax Typhoon

(04.01.2025, U.S. Department of The Treasury)

Ministerstvo financí USA prostřednictvím Úřadu pro kontrolu zahraničních aktiv (OFAC) uvalilo sankce na pekingskou kyberbezpečnostní společnost Integrity Technology Group, Inc. Tato firma je obviněna z podpory kybernetických útoků proti americkým cílům, které jsou připisovány čínské státem podporované skupině známé jako Flax Typhoon. Již v září americké a spojenecké zpravodajské služby vydaly společné doporučení v oblasti kybernetické bezpečnosti (Joint Cyber Security Advisory), v němž oznámily odhalení a odstranění botnetu Raptor Train napojeného na Čínu, který využíval tisíce kompromitovaných routerů a zařízení internetu věcí (IoT) ke škodlivým kybernetickým aktivitám. Ve společném doporučení se uvádí, že čínská společnost Integrity Technology Group (Integrity Tech) „kontrolovala a spravovala aktivní botnet od poloviny roku 2021. K červnu 2024 botnet tvořilo více než 260 000 zařízení“, přičemž zařízení, která se stala obětí, byla pozorována v Severní a Jižní Americe, Evropě, Africe, jihovýchodní Asii a Austrálii. Sankce uvalené na společnost Integrity Technology Group, Inc. blokují přístup společnosti k majetku a finančním prostředkům v USA a zakazují jí obchodní aktivity s americkými subjekty.

Co potřebujete vědět:
  • Flax Typhoon, známá také pod názvy Ethereal Panda a RedJuliett, je APT skupina aktivní od poloviny roku 2021. Skupina se zaměřuje na strategické cíle v Severní Americe, Evropě, Africe a Asii a používá sofistikované kyberšpionážní techniky.
  • V září 2024 FBI oznámila narušení botnetu Raptor Train, který infikoval více než 260 000 zařízení po celém světě a zaměřoval se na kritickou infrastrukturu v USA i dalších zemích. Tento botnet, přisuzovaný skupině Flax Typhoon, kompromitoval zařízení typu SOHO (Small Office/Home Office) a zneužíval je k provádění útoků za použití varianty malwaru Mirai. Jeho hlavním cílem byly DDoS útoky na klíčové systémy a krádeže dat, přičemž útočníci využívali slabě zabezpečené síťové prvky k budování rozsáhlé a obtížně detekovatelné útočné infrastruktury.
  • Skupina Flax Typhoon využívá známé zranitelnosti v softwaru a hardwaru k získání počátečního přístupu do cílových systémů. Po úspěšné kompromitaci nasazuje legální nástroje pro vzdálený přístup, jako jsou VPN klienti a protokoly vzdálené plochy (RDP), k udržení perzistentence. Tyto techniky, známé jako „living off the land“ (LOTL), minimalizují pravděpodobnost detekce pomocí bezpečnostních nástrojů.
  • FBI v září vydala spolu se zpravodajskými partnery z organizace Five Eyes mezinárodní doporučení, v němž upozornila na hrozbu, kterou představuje Flax Typhoon. V doporučení byla podrobně popsána údajná úloha společnosti Integrity Technology (aka Yongxin Zhicheng; v čínštině 北京永信至诚科技有限公司).
  • Zároveň úniky informací označované jako „I-Soon leaks“ jasně ukazují, že Integrity Tech je jedním z hlavních konkurentů společnosti i-SOON, zejména na trhu platforem pro kybernetický výcvik (cyber range) a v oblasti známé jako „TZ.“ Podle analýz týmu Natto se „TZ“ týká produktů pro síťový průzkum a šetření (network investigation/reconnaissance). Zároveň je Integrity Tech i klientem společnosti i-SOON, přičemž od ní nakupuje specifické produkty. Kromě toho jsou obě společnosti obchodními partnery a společně se podílely na vládních zakázkách. Tato složitá provázanost mezi Integrity Tech a i-SOON dále ilustruje komplikovanou síť čínských společností zabývajících se informační bezpečností, jejichž každodenní činnost zahrnuje i účast na státem podporovaných hackerských operacích.
  • Sankce uvalené na společnost Integrity Technology Group zahrnují zmrazení veškerého majetku a finančních prostředků společnosti na území USA a zároveň jí zakazují jakékoliv obchodní aktivity s americkými subjekty.

Komentář Cybule: Sankce proti společnosti Integrity Technology Group jsou primárně signálem o nepřijatelnosti využívání kybernetických společností jako nástrojů pro státem podporované hackerské aktivity. Tchajwanské cílení Flax Typhoon nám připomnělo aktivity jiné čínské APT skupiny a to Volt Typhoon. Pravděpodobným cílem Volt Typhoon bylo zaměřit se na strategicky důležitá aktiva USA a připravit se na ničivé útoky. Na druhou stranu se aktivity Flax Typhoon i nadále zaměřují na špionáž a operace zahrnující síťový průzkum/analýzu (network investigation/reconnaissance).  Vyvstává tedy otázka: je tato činnost součástí širší přípravy Číny na potenciální destruktivní operace, nebo jde stále „pouze“ o špionážní snahy?

Ministerstvo financí USA cílem čínské kyberšpionážní kampaně

(7.1.2025, The Record)

Nedávný kybernetický útok na Ministerstvo financí USA byl později přiřazen čínské skupině Silk Typhoon (také známé jako Hafnium), která do povědomí veřejnosti vstoupila rozsáhlou kompromitací služby Microsoft Exchange Server z ledna 2021. Incident, který byl odhalen v prosinci 2024, je spojen s využitím kompromitovaného API klíče od BeyondTrust, dodavatele poskytujícího služby vzdálené podpory. Agentura pro kybernetickou a infrastrukturní bezpečnost (CISA) uvedla, že narušení se omezilo pouze na Ministerstvo financí, a nejsou žádné náznaky, že by byly ovlivněny jiné federální agentury. Útočníci získali neoprávněný přístup k pracovním stanicím uživatelů a neklasifikovaným dokumentům v rámci Ministerstva.

Co potřebujete vědět:
  • Útočníci získali přístup k systému BeyondTrust prostřednictvím ukradeného API klíče, což jim umožnilo obejít bezpečnostní opatření a vzdáleně proniknout do systémů úřadu. Narušení bylo poprvé detekováno 8. prosince 2024, kdy BeyondTrust upozornil úředníky Ministerstva na podezřelou aktivitu.
  • Ministerstvo uvedlo, že na vyšetřování incidentu spolupracuje s CISA a Federálním úřadem vyšetřování (FBI) a důkazy ukazují na čínského státem podporovaného aktéra.
  • Po objevení incidentu zrušil BeyondTrust kompromitovaný API klíč a pozastavil postižené služby. Společnost vyšetřuje, jak byl klíč získán, a identifikovala dvě bezpečnostní zranitelnosti ve svých produktech související s tímto incidentem. Zranitelnosti s identifikátory CVE-2024-12356 (CVSS 9.8) a CVE-2024-12686 (CVSS 6.6) byly přidány do Katalogu zneužívaných zranitelností (KEV).
  • Předběžné výsledky vyšetřování naznačují, že cílem útočníků byla konkretní oddělení, včetně Úřadu pro kontrolu zahraničních aktiv (OFAC). To naznačuje možný zájem o americké sankční programy a informace o budoucích opatřeních proti čínským subjektům.
  • Společnost BeyondTrust identifikovala incident 8. prosince, ale skutečné trvaní kompromitace zatím není známé nebo nebylo zveřejněno.

Komentář Cybule: Kompromitace Ministerstva financí přes zranitelnou aplikaci dodavatele BeyondTrust podtrhuje trend zneužívání zranitelností v infrastruktuře třetích stran při cílení na jejich zákazníky. BeyondTrust poskytuje služby v oblasti správy identit, vzdáleného přístupu a správu zranitelností. Dodavatele a poskytovatelé řešení, které mají zvýšit bezpečnost uživatelů jsou velmi častým cílem útočníků.

Seznam obětí Salt Typhoon se rozrostl o další mobilní operátory

(6.1.2025, The Register)

Rozsáhlá kompromitace telekomunikačního sektoru v USA čínskou skupinou Salt Typhoon se rozšířila o devátou oběť. K operátorům AT&T, Verizon a Lumen Technologies se přidaly společnosti Charter Communications, Consolidated Communications a Windstream. Identita dalších obětí není známá. Podle informací deníku Wall Street Journal je aktuální počet kompromitovaných operátorů na čísle devět.

Operátoři identifikovaní jako oběti kampaně Salt Typhoon

Co potřebujete vědět:
  • Kromě výše uvedených společností je s kampaní Salt Typhoon spojován i mobilní operátor T-Mobile (USA). Společnost však tvrdí, že útoku zabránila v počáteční fázi a není jednou z devíti obětí označených americkými úřady.
  • Útočníci údajně využili neaktualizovaná síťová zařízení od Fortinet a Cisco, aby získali přístup. V jednom případě (údajně u operátora AT&T) převzali hackeři kontrolu nad účtem s oprávněními pro správu sítě, který postrádal vícefaktorovou autentizaci, což umožnilo přístup k více než 100 000 routerům. Přístup pak využili k tomu, aby skopírovali síťový provoz zpět do Číny a vymazali stopy své aktivity.
  • Postup Salt Typhoon je podobný útokům, před kterými americké úřady varovaly v lednu 2024. Ministerstvo spravedlnosti tehdy upozornilo na další skupinu spojenou s čínskou vládou, Volt Typhoon, která infikovala routery Cisco malwarem a vytvořila z nich síť známou jako KV-Botnet. Tato zařízení byla následně využita k pronikání do amerických energetických, vodních a výrobních zařízení, pravděpodobně již od roku 2021. Americké úřady narušily KV-Botnet v prosinci 2023 a lednu 2024. Na podzim ovšem vyšlo najevo, že Volt Typhoon obnovuje KV Botnet a opět využívá zranitelném nebo nepodporované routery Cisco.
  • Operátoři Verizon a AT&T prohlásili dne 30. prosince 2024, že se jejich bezpečnostním týmům podařilo vyhnat Salt Typhoon ze svých sítí.

Komentář Cybule: Odhalení nových oběti naznačuje, že skutečný dopad kampaně Salt Typhoon stále není znám a bude se pravděpodobně jednat o jeden z nejškodlivějších zaznamenaných kyberšpionážních útoků. Znepokojení způsobuje nejen rozsah, ale také nejistota ohledně počátku kompromitace. Tvrzení Verizonu a AT&T o vyhnání útočníka ze svých systémů je třeba brát s výraznou rezervou. Nejde ani tak o to, že by se obě společnosti pokoušely cíleně klamat veřejnost, ale pokročilí aktéři, jakým Salt Typhoon bezesporu je, jsou schopni odolávat pokusům o vyhnání a často již v počáteční fázi nepozorovaně rozmístí backdoory, jako případný alternativní přístup do napadené sítě.

Přejít nahoru