Salt Typhoon og líklega tengdir ógnarhópar
Salt Typhoon er ógnarhópur sem er þekktur fyrir njósnir gegn fjarskiptafyrirtækjum í þeim tilgangi að komast yfir fjarskiptaumferðarupplýsingar og hafa Bandaríkin bendlað hópinn við kínversk stjórnvöld. Talið er að hópurinn tengist Volt Typhoon og Silk Typhoon og að þeir m.a. deili innviðum (e. infrastructure).
Volt Typhoon ræðst gegn geirum mikilvægra innviða og hefur meiri áhuga á hugverkum (e. intellectual property) jafnframt því að byggja upp getu til að lama mikilvæga innviði í stríði eða aðdraganda stríðs. Volt Typhoon ræðst mest gegn útstöðvum fórnarlamba á meðan Salt Typhoon ræðst meira á netbúnað og kemur fyrir bakdyrum til að viðhalda langtímaaðgengi (e. long term persistence).
Silk Typhoon ógnarhópurinn vakti athygli í mars á þessu ári en hópurinn stelur aðgangslyklum (e. API keys) og aðgangsorðum (e. credentials) hjá fyrirtækjum sem veita þjónustu á sviði aðgangsstýringa og skýjaþjónustu (e. Privileged Access Management (PAM), Cloud Apps and Cloud Data management) og færa sig þaðan inn í umhverfi viðskiptavina fyrirtækjanna. Hópurinn einbeitir sér sérstaklega að samnýttu skýja umhverfi (e. multitenant) til að komast á milli stofnana innan sama umhverfis og yfir í önnur. Í framhaldi misnota þeir stillingar í skýjaumhverfinu (e. tenant) meðal annars til að ná í gögn í gegnum MS Graph.
Innbrot í fjarskiptafyrirtæki
Salt Typhoon vakti fyrst verulega athygli í október 2024 þegar tilkynnt var að þeir hefðu brotist inn í að minnsta kosti þrjú fjarskiptafyrirtæki í Bandaríkjunum. Fréttir voru takmarkaðar og óljósar framan af en smám saman komu frekari upplýsingar fram. Þó ekki sé enn ljóst hversu mörg fjarskiptafyrirtæki var ráðist inn í eru allar líkur á að þau telji í tugum. Talið er að Salt Typhoon hafi getað athafnað sig í marga mánuði í kerfum fjarskiptafyrirtækjanna áður en innbrotin uppgötvuðust og komist meðal annars inn í kerfi sem vista fjarskiptaumferðarupplýsingar (e. CDR – Call Data Records) og hlerunargögn. Þar á meðal voru hljóðupptökur og smáskilaboð á vegum forsetaframbjóðenda í Bandaríkjunum. Um miðan nóvember á seinasta ári var upplýst að einnig hefði verið brotist inn til T-Mobile fjarskiptafyrirtækisins án þess að ógnaraðilarnir hefðu komist í gögn. Í lok sama mánaðar birti T-Mobile grein þar sem þeir sögðu frá að starfsfólk T-Mobile hefði orðið vart við innbrotið og lokað á samband við önnur fjarskiptafélög þaðan sem árásin kom. Í báðum greinunum kemur fram að T-Mobile hefur orðið fyrir fjölda innbrota í gegnum tíðina og í grein T-Mobile þá er tekið fram að þau innbrot hafi leitt til þess að þeir hafi lagst í verulegar umbætur á öryggisverklagi. T-Mobile segist ekki hafa greint þessa tegund árása áður og telja hana einstaka.
Í desember 2014 koma fram fréttir þar sem sagt er frá að allavega 8 fjarskiptafyrirtæki í Bandaríkjunum hafi orðið fyrir barðinu á Salt Typhoon ásamt fjarskiptafyrirtækjum í á þriðja tug annarra landa og staðið yfir í 1 til 2 ár.
Á svipuðum tíma gaf CISA ásamt FBI og NSA út tæknilegar leiðbeiningar fyrir fjarskiptafyrirtæki þar sem farið er á greinargóðan hátt yfir atriði sem geta hægt á eða stöðvað árásir hópsins. Þær leiðbeiningar eru of ítarlegar til að taka fyrir hér og hafa verið kynntar viðeigandi aðilum. Það sem má lesa á milli línanna í þessum leiðbeiningum er að Salt Typhoon hafi komist inn á netbúnað og fært sig síðan á milli netbúnaðar á stjórnkerfisleggjum neta og mögulega nýtt til þess telnet eða SSH á óvörðum VTY netskilgreiningum. Einnig brotið upp veik lykilorð sem hafi ekki nýtt sterka dulkóðun og sett inn sýktar útgáfur af stýrikerfum (e. image). Eftirlitskerfi hafi ekki greint árásina eða breytingar á notendum, stillingum eða rútum, hugsanlega vegna þess að eftirlitskerfi söfnuðu ekki atvikum frá þeim netleggjum sem voru nýtt í árásinni.
Ráðleggingar
CERT-IS beinir því til mikilvægra innviða og áhugasamra að kynna sér vel ráðgjöf CISA ásamt ráðleggingum T-Mobile. Í mjög stuttu máli snúast ráðleggingarnar um að
- Komið á öruggum samskiptahætti (t.d. ssh) frá og í gegnum varin stjórnkerfisnet (e. management network) og vörðum netleggjum
- Ekki hafa opnanir út á internetið
- Notið ekki óörugga samskiptahætti eins og telnet
- Viðhafið miðlægt eftirlit með breytingum á búnaði og stilliskrám (e. config)
- Geymið stillingar miðlægt og stýrið breytingum þaðan
- Komið á yfirliti yfir allan búnað og fastabúnaði (e. firmware) þeirra og viðhaldið
- Notið örugg lykilorð og dulritaralgrím
- Komið á eftirliti með lykil netleggjum, þ.m.t. stjórnkerfisnetum og millinetum til þriðju aðila eins og annarra fjarskiptafyrirtækja
- Geymið öll slík eftirlitsgögn miðlægt og sendið yfir dulkóðuð sambönd og notið viðeigandi aðferðir til að koma í veg fyrir að gögnin spillist
- Komið á eftirliti með notendaaðgöngum og þjónustuaðgöngum (e. service accounts) til að greina frávik sem gefa til kynna misnotkun
Athugið að þessar leiðbeiningar eru til viðbótar við annað öryggisverklag og eru sérstaklega miðaðar að því að greina og trufla árásir frá ógnarhópum eins og Salt Typhoon. Telja má líklegt að ein af aðferðum Salt Typhoon sé bragðvísi (e. Social Engineering) og þar með nýtt traust á milli starfsmanna fjarskiptafyrirtækis eða jafnvel við þriðja aðila. Þetta er því tækifæri fyrir mikilvæga innviði til að meta hvernig starfsfólk geti gengið úr skugga um að uppruni samskipta sé réttur.
Staðan og framhaldið
Árásir kínverskra ógnarhópa á mikilvæga innviði í Bandaríkjunum er ekki nýtt af nálinni en hafa náð nýjum hæðum með þessum árásum og má líta á sem ákveðna stigmögnun. Um miðjan apríl síðastliðinn birtust fréttir um að erindrekar Kínverja og Bandaríkjamanna hefðu hist á leynilegum fundi seint á seinasta ári. Á þeim fundi hafi Bandaríkjamenn túlkað óljós og óbein ummæli Kínverja sem viðurkenningu á aðild þeirra að árásum á vegum Volt Typhoon á mikilvæga innviði í Bandaríkjunum. Samkvæmt heimildarmönnum í fréttinni þá er tilgangurinn að hræða Bandaríkjamenn frá því að taka þátt í átökum á milli Kína og Taívan. Í lok apríl þá birti FBI ákall um hjálp til að finna þá sem standa á bak við Salt Typhoon og tengda ógnarhópa og minnti á 10 milljón bandaríkjadala verðlaun á vegum bandarískra stjórnvalda fyrir upplýsingar um ógnarhópa sem herja á mikilvæga innviði í Bandaríkjunum.
Í grein frá CyberScoop er bent á að enn í dag er ekki ljóst hvort tekist hafi að úthýsa Salt Typhoon úr umhverfum fjarskiptafyrirtækja og benda sérfræðingar á að það gæti verið auðvelt t.d. í Bandaríkjunum fyrir ógnaraðila að komast þangað inn aftur af margvíslegum ástæðum. Censys hefur til dæmis mælt 25% fækkun í heildina á þeim veikleikum sem Salt Typhoon eru mest þekktir fyrir að misnota seinustu 6 mánuði. CyberScoop bendir á að þegar lítið sé um vísa að þá séu aðferðir eins og ógnarveiðar mikilvægur þáttur í vörnum til að greina óeðlilega hegðun.
Frásagnir af samskiptum þessara stórvelda og aðferðum ógnarhópana er hægt að upplifa sem æsispennandi njósna sögu sem komi okkur ekki við hér á klakanum. Reyndin er hins vegar sú að þessir ógnarhópar beita mjög þróuðum aðferðum og krefjast sífellds endurmats á vörnum. Benda má að í Danmörku hefur ógnarmat varðandi njósnir gagnvart þarlendum fjarskiptafyrirtækjum verið hækkað í næsthæsta stig eða HIGH.
CERT-IS hefur vakið athygli viðeigandi aðila á ógnarhópunum, aðferðum þeirra og sérstaklega hvaða vörnum er hægt að beita gegn þeim. CERT-IS mun vakta þessa ógnarhópa áfram og veita sviðshópum sínum og öðrum frekari upplýsingar þegar þær eru tiltækar.