Ancaman siber tingkat lanjut (APT) yang terkait dengan Tiongkok, yang dikenal sebagai Salt Typhoon, terus melancarkan serangan terhadap jaringan di seluruh dunia, termasuk organisasi di sektor telekomunikasi, pemerintahan, transportasi, perhotelan, dan infrastruktur militer.
Kelompok ini menargetkan router tulang punggung utama dari penyedia telekomunikasi besar, serta provider edge (PE) dan customer edge (CE) router. Mereka juga memanfaatkan perangkat yang diretas dan koneksi tepercaya untuk masuk ke jaringan lain. Salt Typhoon sering kali memodifikasi router untuk mempertahankan akses jangka panjang yang persisten ke jaringan.
Aktivitas berbahaya ini terkait dengan tiga entitas Tiongkok: Sichuan Juxinhe Network Technology Co., Ltd., Beijing Huanyu Tianqiong Information Technology Co., Ltd., dan Sichuan Zhixin Ruijie Network Technology Co., Ltd. Perusahaan-perusahaan ini menyediakan produk dan layanan terkait dunia siber kepada badan intelijen Tiongkok. Data yang dicuri dari intrusi, khususnya yang menargetkan perusahaan telekomunikasi dan penyedia layanan internet (ISP), memberikan kemampuan kepada Beijing untuk mengidentifikasi dan melacak komunikasi dan pergerakan target mereka secara global.
Kelompok Salt Typhoon telah aktif sejak setidaknya tahun 2019, terlibat dalam kampanye spionase yang bertujuan untuk melanggar privasi dan norma keamanan telekomunikasi global. Meskipun organisasi di Belanda tidak menerima tingkat perhatian yang sama dari peretas Salt Typhoon seperti yang ada di Amerika Serikat, pelaku ancaman memperoleh akses ke router ISP dan penyedia hosting yang lebih kecil. Namun, tidak ada bukti bahwa peretas menembus jaringan ini lebih jauh.
Sejak setidaknya tahun 2021, aktivitas ini telah menargetkan organisasi di sektor-sektor penting termasuk pemerintah, telekomunikasi, transportasi, perhotelan, dan infrastruktur militer secara global, dengan kluster aktivitas yang teramati di Inggris. Kelompok peretas ini telah memperluas fokus penargetannya ke sektor dan wilayah lain, menyerang tidak kurang dari 600 organisasi, termasuk 200 di AS, dan 80 negara.
Salt Typhoon, yang tumpang tindih dengan aktivitas yang dilacak sebagai GhostEmperor, Operator Panda, RedMike, dan UNC5807, telah diamati memperoleh akses awal melalui eksploitasi perangkat edge jaringan yang terpapar dari Cisco (CVE-2018-0171, CVE-2023-20198, dan CVE-2023-20273), Ivanti (CVE-2023-46805 dan CVE-2024-21887), dan Palo Alto Networks (CVE-2024-3400).
Pelaku APT dapat menargetkan perangkat edge terlepas dari siapa yang memiliki perangkat tertentu. Perangkat yang dimiliki oleh entitas yang tidak selaras dengan target minat utama pelaku masih memberikan peluang untuk digunakan dalam jalur serangan ke target yang diminati. Perangkat yang diretas kemudian dimanfaatkan untuk masuk ke jaringan lain, dalam beberapa kasus bahkan memodifikasi konfigurasi perangkat dan menambahkan generic routing encapsulation (GRE) tunnel untuk akses persisten dan data exfiltration.
Akses persisten ke jaringan target dicapai dengan mengubah Access Control Lists (ACL) untuk menambahkan alamat IP di bawah kendali mereka, membuka port standar dan non-standar, dan menjalankan perintah dalam wadah Linux on-box pada perangkat jaringan Cisco yang didukung untuk melakukan staging tools, memproses data secara lokal, dan bergerak secara lateral di dalam lingkungan.
Selain itu, pelaku serangan menggunakan protokol otentikasi seperti Terminal Access Controller Access Control System Plus (TACACS+) untuk memungkinkan pergerakan lateral di seluruh perangkat jaringan, sambil secara bersamaan melakukan tindakan penemuan ekstensif dan menangkap lalu lintas jaringan yang berisi kredensial melalui router yang diretas untuk menggali lebih dalam ke dalam jaringan.
Pelaku APT mengumpulkan PCAP menggunakan tooling asli pada sistem yang diretas, dengan tujuan utama kemungkinan untuk menangkap lalu lintas TACACS+ melalui TCP port 49. Lalu lintas TACACS+ digunakan untuk otentikasi, seringkali untuk administrasi peralatan jaringan dan termasuk akun dan kredensial administrator jaringan yang sangat istimewa, kemungkinan memungkinkan pelaku untuk membahayakan akun tambahan dan melakukan pergerakan lateral.
Selain itu, Salt Typhoon telah diamati mengaktifkan layanan sshd_operns pada perangkat Cisco IOS XR untuk membuat pengguna lokal dan memberinya hak sudo untuk mendapatkan root pada host OS setelah masuk melalui TCP/57722. Keakraban pelaku ancaman dengan sistem telekomunikasi menawarkan mereka keuntungan unik, memberi mereka keunggulan dalam hal penghindaran pertahanan. Ekosistem kontraktor, akademisi, dan fasilitator lainnya adalah inti dari spionase dunia maya Tiongkok. Kontraktor digunakan untuk membangun tools dan eksploitasi yang berharga serta melakukan pekerjaan kotor operasi intrusi. Mereka sangat berperan dalam evolusi pesat operasi ini dan mengembangkannya ke skala yang belum pernah terjadi sebelumnya.
Selain menargetkan telekomunikasi, pelaporan penargetan perhotelan dan transportasi oleh pelaku ini dapat digunakan untuk mengawasi individu secara ketat. Informasi dari sektor-sektor ini dapat digunakan untuk mengembangkan gambaran lengkap tentang siapa yang diajak bicara seseorang, di mana mereka berada, dan ke mana mereka pergi.
Sumber: thehackernews