Prijetnja iz Kine: Salt Typhoon i Novi Backdoor Malware
Jedan od najzloglasnijih kineskih prijetnji, podupiranih od države, poznat kao Salt Typhoon, nedavno je uočen u korištenju novog tipa backdoor malwara koji cilja pružatelje telekomunikacijskih usluga. Prema izvješću stručnjaka za kibernetsku sigurnost tvrtke Trend Micro, ovaj backdoor, nazvan GhostSpider, koristi se u dugoročnim operacijama kibernetske špijunaže. Ključni mehanizmi prikrivenosti GhostSpider-a uključuju ostajanje isključivo u memoriji i enkripciju komunikacije s C2 serverom.
Što sve GhostSpider može?
GhostSpider ima širok spektar sposobnosti, uključujući:
- Učitavanje zlonamjernih modula u memoriju
- Aktiviranje modula inicijalizacijom potrebnih resursa
- Izvršavanje osnovne funkcije učitavanja (ekstrakcija podataka ili manipulacija sustavom)
- Gašenje moda kako bi se oslobodila memorija i ostalo izvan vidokruga
- Podešavanje ponašanja kako bi izbjegao otkrivanje, uz održavanje periodične komunikacije s C2 serverom
Prema izvješću The Washington Posta, američka tijela nedavno su obavijestila 150 žrtava, većinom iz područja Washington D.C.-a, da ih Salt Typhoon prisluškuje. Osim telekomunikacija, Trend Micro navodi da su kineske vlasti ciljale i državne institucije, tehnološke tvrtke, konzultantske kuće, kemijsku industriju i sektor transporta u SAD-u, Azijsko-Pacifičkoj regiji, na Bliskom Istoku, u Južnoj Africi i drugim regijama.
Korištene ranjivosti
Da bi prodrli u sustave, Salt Typhoon koristi više ranjivosti na različitim uređajima, uključujući greške u Ivantovom Connect Secure VPN-u, Fortinetovom FortiClient EMS-u, Sophosovom firewallu i drugim. Iako je GhostSpider bio u središtu pažnje, Salt Typhoon je također primijećen u korištenju drugih, do sad neviđenih varijanti, uključujući Linux backdoor nazvan Masol RAT, rootkit poznat kao Demodex i backdoor pod imenom SnappyBee.
Konačne Misli
Salt Typhoon se smatra jednim od opasnijih prijetnji, koji se uglavnom fokusira na ekstrakciju podataka i nadzor, često ciljanjem na vladine agencije, političke figure i ključne industrije u SAD-u i zemljama saveznicama. Među njihovim značajnim žrtvama su i velike telekomunikacijske tvrtke u SAD-u, kao što su T-Mobile, AT&T, Verizon i Lumen Technologies.
U borbi protiv ovih sofisticiranih prijetnji, važno je da organizacije ostanu informirane i poduzmu potrebne mjere kako bi osigurale svoje sustave i zaštitile osjetljive podatke.
