Bollettino dei cyberattacchi: Difesa contro il ransomware Codefinger in AWS S3

Bollettino dei cyberattacchi: Difesa contro il ransomware Codefinger in AWS S3

Vectra AI Giappone, ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo
Bollettino degli attacchi ibridi

La tempesta silenziosa: Inside Salt Typhoon's Massive Telco Cyberattack

12 dicembre 2024
Lucie Cardiet
Responsabile marketing prodotti
La tempesta silenziosa: Inside Salt Typhoon's Massive Telco Cyberattack

Questo blog evidenzia l'attività informatica dannosa in corso condotta dal gruppo di minacce informatiche affiliato alla Repubblica Popolare Cinese (RPC), noto come Salt Typhoon contro i fornitori di infrastrutture di telecomunicazione. Secondo recenti rapporti, gli attori delle minacce di Salt Typhoon hanno compromesso le reti di importanti organizzazioni di telecomunicazioni globali, conducendo campagne di spionaggio informatico ampie e significative.

In risposta, la Cybersecurity and Infrastructure Security Agency (CISA), insieme alla National Security Agency (NSA), al Federal Bureau of Investigation (FBI) e a partner internazionali, ha pubblicato la Enhanced Visibility and Hardening Guidance for Communications Infrastructure per assistere gli ingegneri e i difensori di rete nel migliorare la visibilità e le pratiche di hardening. Questa guida mira a ridurre l'esposizione ai tentativi di sfruttamento e a rafforzare la sicurezza generale dei dispositivi di rete.

La criticità degli attacchi alle telco

Le reti di telecomunicazione sono le linee di vita della società moderna, in quanto consentono le comunicazioni personali, supportano le operazioni di sicurezza nazionale e sostengono le attività economiche globali. Prendendo di mira queste infrastrutture critiche, il gruppo di minacce affiliato alla RPC noto come Salt Typhoon sfrutta il ruolo centrale delle telecomunicazioni nelle funzioni governative, nel commercio e nella vita quotidiana. Attraverso gli assalti diretti ai fornitori di telecomunicazioni, Salt Typhoon può:

  • Intercettare le comunicazioni sensibili: L'accesso alle trasmissioni vocali e di dati fornisce informazioni preziose sulle attività governative, sulle strategie aziendali e sulle informazioni personali.
  • Interruzione di servizi essenziali: La compromissione dell'infrastruttura delle telecomunicazioni può portare a interruzioni diffuse del servizio, con ripercussioni sull'economia, sulla sicurezza pubblica e sulle capacità di risposta alle emergenze.
  • Stabilire piattaforme di spionaggio a lungo termine: L'accesso persistente consente il monitoraggio continuo, l'esfiltrazione dei dati e la possibilità di manipolare le comunicazioni per periodi prolungati.

Queste azioni hanno gravi implicazioni, tra cui l'indebolimento della sicurezza nazionale, la destabilizzazione dei contesti economici e l'erosione della fiducia del pubblico nei sistemi di comunicazione. Le operazioni di Salt Typhoonsono in linea con gli obiettivi comunemente associati allo spionaggio informatico sponsorizzato dallo Stato:

  1. Raccolta di informazioni strategiche: Ottenere informazioni classificate, segreti commerciali e comunicazioni strategiche per ottenere vantaggi politici ed economici.
  2. Leva tecnologica: Rubare proprietà intellettuale e dati sensibili per potenziare le capacità tecnologiche nazionali senza sostenere costi di ricerca e sviluppo.
  3. Preparazione alla guerra informatica: Inserirsi all'interno delle infrastrutture critiche per prepararsi a potenziali conflitti futuri, in cui il controllo delle comunicazioni potrebbe conferire vantaggi strategici significativi.
  4. Influenza e manipolazione: Monitoraggio o addirittura alterazione delle comunicazioni per sostenere campagne di disinformazione, attività di spionaggio o tentativi di indebolire la fiducia del pubblico nelle istituzioni.

Concentrandosi sulle telecomunicazioni, Salt Typhoon estende la sua portata al di là di un singolo settore, amplificando così la sua influenza e aumentando la gravità del suo potenziale impatto. Questo approccio ampio eleva la minaccia posta ai sistemi di comunicazione critici in tutto il mondo.

Potenziali prossime mosse del Salt Typhoon

Data la loro tattica aggressiva e la portata in espansione, Salt Typhoon possono:

  • Estendere gli attacchi ad altri settori di infrastrutture critiche come l'energia, la finanza, la sanità e i trasporti.
  • Sviluppare malware, rootkit e exploit zero-day più avanzati per non essere individuati e mantenere l'accesso a lungo termine.
  • Sfruttare le vulnerabilità della catena di approvvigionamento prendendo di mira fornitori e appaltatori terzi per infiltrarsi in altre reti e diffondere malware.
  • Sfruttare i dati compromessi per ottenere vantaggi strategici, ricatti o per lanciare ulteriori attacchi mirati.

Le organizzazioni devono anticipare queste potenziali mosse e rafforzare di conseguenza la propria posizione di cybersecurity.

I TTP utilizzati da Salt Typhoon

Raccomandazioni chiave della CISA

La più recente guida CISA enfatizza sia le misure preventive che quelle investigative. Le organizzazioni devono implementare le azioni raccomandate relative alla visibilità, al monitoraggio, alla gestione della configurazione, alla segmentazione, ai protocolli sicuri, ai controlli di accesso e alle tecniche di hardening specifiche dei fornitori.

1. Rafforzare la visibilità e il monitoraggio

Le operazioni di Salt Typhoonsi basano su metodi di intrusione furtivi e sul nascondersi nel normale traffico di rete. Il miglioramento della visibilità e del monitoraggio consente ai difensori di rilevare tempestivamente comportamenti anomali, identificare movimenti laterali sospetti e rispondere rapidamente prima che gli aggressori prendano piede.

Le raccomandazioni della CISA:

  • Esaminate attentamente le modifiche alla configurazione dei dispositivi di rete e implementate avvisi completi per rilevare le modifiche non autorizzate.
  • Impiegate soluzioni di monitoraggio del flusso forti, garantite una registrazione centralizzata con crittografia e archiviate i dati di registro in modo sicuro.
  • Integrare le funzionalità di cattura dei pacchetti e la linea di base del normale comportamento della rete per rilevare le anomalie.

Allineamento di Vectra AI :

L'Attack Signal Intelligence diVectra AI applica tecniche di rilevamento e correlazione comportamentale guidate dall'intelligenza artificiale sull'intera impronta dell'attacco, compresi host, account e carichi di lavoro. Utilizzando un approccio incentrato sulle entità per il rilevamento delle minacce, Vectra AI fornisce ai team di sicurezza una visibilità completa sull'attività di rete e sul comportamento degli utenti.

Ciò è in linea con le pratiche raccomandate per il rafforzamento della visibilità e del monitoraggio, in quanto consente agli operatori di:

  • Correlare e dare priorità agli eventi: Sfruttare l'analisi integrata per collegare indicatori apparentemente benigni provenienti da varie fonti, come router, firewall ed endpoint, in un racconto coerente e prioritario delle minacce.
  • Migliorare le operazioni di sicurezza: Integrazione perfetta con gli strumenti SIEM per arricchire i log e gli avvisi con il contesto, riducendo il rumore e consentendo un triage e un'indagine più efficienti.
  • Accelerazione dei tempi di risposta: Rilevare e tracciare le azioni avversarie in tempo reale, assicurando che i team di sicurezza possano agire rapidamente prima che gli aggressori prendano piede o causino danni significativi. Fornendo una visibilità profonda e continua e approfondimenti basati sul contesto, Vectra AI aiuta le organizzazioni ad allinearsi alle linee guida delineate dal CISA e dai suoi partner, assicurando che i sistemi di monitoraggio siano in grado di rilevare, indagare e rispondere efficacemente alle tattiche e alle tecniche impiegate da gruppi di minacce sofisticate come Salt Typhoon.

2. Sistemi e dispositivi di hardening

Salt Typhoon sfrutta le vulnerabilità non patchate, le configurazioni deboli e le reti di gestione non sicure. Irrobustendo i sistemi e i dispositivi, le organizzazioni riducono la capacità degli aggressori di sfruttare le debolezze note e limitano l'impatto di qualsiasi intrusione riuscita.

Le raccomandazioni della CISA:

  • Implementare reti di gestione fuori banda fisicamente separate dalla rete del flusso di dati.
  • Applicare liste di controllo degli accessi (ACL) di tipo default-deny e una segmentazione rigorosa utilizzando VLAN, DMZ e costrutti difensivi stratificati.
  • Utilizzate metodi crittografici affidabili per le VPN e disattivate i servizi non necessari.
  • Applicate regolarmente le patch del fornitore, seguite un solido processo di gestione delle modifiche e rispettate i criteri di sicurezza delle password.

Allineamento di Vectra AI :

Mentre le organizzazioni applicano configurazioni rinforzate, Vectra AI fornisce una visibilità continua sui segmenti di rete e rileva i tentativi di movimento laterale che possono aggirare le difese tradizionali. Le analisi avanzate della soluzione aiutano a identificare le deviazioni di comportamento causate da accessi dannosi e dall'escalation dei privilegi, supportando gli operatori nel mantenimento di una forte segmentazione e nell'applicazione di politiche di accesso rigorose.

3. Protocolli e processi di gestione

Salt Typhoon sfrutta protocolli insicuri, autenticazione debole e credenziali amministrative mal gestite per muoversi all'interno delle reti. Il rafforzamento dei protocolli e dei processi di gestione limita la capacità degli avversari di ottenere privilegi elevati e di muoversi all'interno delle infrastrutture critiche.

Le raccomandazioni della CISA:

  • Limitare la gestione del dispositivo a postazioni amministrative dedicate e fidate.
  • Disattivare o limitare l'esposizione del traffico di gestione a Internet.
  • Utilizzare una crittografia forte e algoritmi crittografici moderni per i protocolli di gestione.
  • Utilizzare i framework RBAC (Role-Based Access Control) e AAA (Authentication, Authorization and Accounting).

Allineamento di Vectra AI :

La piattaformaVectra AI rileva eventi di autenticazione sospetti e può avvisare gli operatori di anomalie nei protocolli di gestione o di attività inaspettate degli account. Ciò integra i controlli di accesso più severi e garantisce che qualsiasi tentativo dannoso di gestire i dispositivi di rete venga segnalato per un'indagine tempestiva.

4. Guida specifica Cisco

Salt Typhoon è stato osservato sfruttare funzionalità e impostazioni predefinite specifiche di Cisco. L'applicazione di raccomandazioni di hardening mirate a Cisco riduce le opportunità dell'avversario di abusare delle funzionalità specifiche del fornitore e di ottenere un accesso persistente alla rete.

Le raccomandazioni della CISA:

  • Disattivare le funzioni specifiche di Cisco (ad esempio, Smart Install) se non sono necessarie.
  • Applicare impostazioni di gestione web sicure o disabilitare i servizi web non necessari.
  • Adottare meccanismi di memorizzazione sicura delle password (ad esempio, tipo-8) e garantire che le chiavi TACACS+ siano criptate.

Allineamento di Vectra AI :

Mentre i difensori di rete eseguono l'hardening degli ambienti Cisco, Vectra AI monitora continuamente l'introduzione di pattern dannosi indicativi di comportamenti di minacce affiliate alla Repubblica Popolare Cinese osservati in precedenza. Questa tecnologia integra le best practice specifiche del fornitore, aiutando a rilevare le attività sospette che possono emergere dopo l'applicazione delle misure di hardening.

5. Segnalazione degli incidenti e sicurezza nella progettazione

Gli attacchi di Salt Typhoontraggono vantaggio da risposte tardive e prodotti non sicuri. La segnalazione tempestiva aiuta le agenzie governative a tracciare e rispondere alle minacce in evoluzione, mentre i principi di secure-by-design riducono la complessità e il rischio di intrusione fin dall'inizio.

  • Segnalare le attività sospette alle autorità competenti (ad esempio, FBI, CISA, controparti estere).
  • Adottare i principi del secure-by-design ed esigere impostazioni secure-by-default da venditori e fornitori.

Fornendo una maggiore visibilità e solide capacità di rilevamento, Vectra AI supporta i più ampi processi di risposta agli incidenti delle organizzazioni. Il rilevamento precoce è in linea con i principi del secure-by-design, riducendo al minimo il tempo di permanenza e l'impatto delle attività degli avversari. Inoltre, gli approfondimenti della soluzione possono supportare la raccolta di prove e facilitare la segnalazione tempestiva alle autorità.

Il fatto che Salt Typhoonabbia preso di mira le infrastrutture di telecomunicazione sottolinea l'importanza di adottare le misure complete delineate nella Enhanced Visibility and Hardening Guidance for Communications Infrastructure. Gli ingegneri e i difensori delle reti dovrebbero attuare queste raccomandazioni per migliorare la loro posizione di sicurezza e ridurre le opportunità di intrusione avversaria.

L'integrazione di soluzioni di sicurezza in linea con queste raccomandazioni rafforza ulteriormente le difese. Le funzionalità diVectra AI integrano le indicazioni della CISA migliorando la visibilità, semplificando la correlazione degli eventi e rilevando anomalie comportamentali indicative di attività dannose. Grazie a una combinazione di pratiche di hardening rigorose, all'adesione ai principi di secure-by-design e a tecnologie avanzate come Vectra AI, le organizzazioni possono proteggere meglio le proprie infrastrutture critiche dalle minacce in evoluzione poste da gruppi affiliati alla RPC e da altri gruppi di minacce dannose.

Volete vedere la piattaforma Vectra AI in azione? Partecipate al nostro tour autoguidato o richiedete una demo personalizzata oggi stesso.

DOMANDE FREQUENTI