Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso
Briefing sulle minacce

La tempesta silenziosa: dentro il massiccio attacco informatico Salt Typhoon alle telecomunicazioni

12 dicembre 2024
Lucie Cardiet
Responsabile della ricerca sulle minacce informatiche
La tempesta silenziosa: dentro il massiccio attacco informatico Salt Typhoon alle telecomunicazioni

Questo blog mette in evidenza le attività informatiche dannose condotte dal gruppo di cyber-minaccia affiliato alla Repubblica Popolare Cinese (RPC) noto come Salt Typhoon contro i fornitori di infrastrutture di telecomunicazione. Recenti segnalazioni suggeriscono che gli autori Salt Typhoon abbiano compromesso le reti delle principali organizzazioni di telecomunicazioni globali, conducendo campagne di spionaggio informatico su vasta scala e di notevole rilevanza.

In risposta, la Cybersecurity and Infrastructure Security Agency (CISA), insieme alla National Security Agency (NSA), al Federal Bureau of Investigation (FBI) e ai partner internazionali, ha pubblicato la guida Enhanced Visibility and Hardening Guidance for Communications Infrastructure (Guida per una maggiore visibilità e rafforzamento delle infrastrutture di comunicazione) per aiutare i tecnici di rete e i difensori a migliorare la visibilità e le pratiche di rafforzamento. Questa guida mira a ridurre l'esposizione ai tentativi di sfruttamento e a rafforzare la sicurezza complessiva dei dispositivi di rete.

La criticità degli attacchi alle telecomunicazioni

Le reti di telecomunicazione sono le arterie vitali della società moderna, consentono le comunicazioni personali, supportano le operazioni di sicurezza nazionale e sostengono le attività economiche globali. Prendendo di mira queste infrastrutture critiche, il gruppo di hacker affiliato alla Repubblica Popolare Cinese noto come Salt Typhoon il ruolo centrale che le società di telecomunicazioni svolgono nelle funzioni governative, nel commercio e nella vita quotidiana. Attraverso attacchi diretti ai fornitori di servizi di telecomunicazione, Salt Typhoon :

  • Intercettare comunicazioni sensibili: l'accesso alle trasmissioni vocali e di dati fornisce informazioni preziose sulle attività governative, sulle strategie aziendali e sulle informazioni personali.
  • Interrompere i servizi essenziali: compromettere le infrastrutture delle telecomunicazioni può causare interruzioni diffuse dei servizi, con ripercussioni sull'economia, sulla sicurezza pubblica e sulla capacità di risposta alle emergenze.
  • Creare piattaforme di spionaggio a lungo termine: l'accesso persistente consente il monitoraggio continuo, l'esfiltrazione dei dati e la possibilità di manipolare le comunicazioni per periodi prolungati.

Queste azioni hanno gravi implicazioni, tra cui l'indebolimento della sicurezza nazionale, la destabilizzazione dei quadri economici e l'erosione della fiducia pubblica nei sistemi di comunicazione. Le operazioni Salt Typhoonsono in linea con gli obiettivi comunemente associati allo spionaggio informatico sponsorizzato dallo Stato:

  1. Raccolta di informazioni strategiche: acquisizione di informazioni riservate, segreti commerciali e comunicazioni strategiche per ottenere vantaggi politici ed economici.
  2. Leverage tecnologico: rubare proprietà intellettuale e dati sensibili per potenziare le capacità tecnologiche nazionali senza sostenere costi di ricerca e sviluppo.
  3. Preparazione alla guerra cibernetica: integrazione nelle infrastrutture critiche per prepararsi a potenziali conflitti futuri, in cui il controllo delle comunicazioni potrebbe conferire vantaggi strategici significativi.
  4. Influenza e manipolazione: monitoraggio o addirittura alterazione delle comunicazioni per sostenere campagne di disinformazione, attività di spionaggio o tentativi di indebolire la fiducia del pubblico nelle istituzioni.

Concentrandosi sulle telecomunicazioni, Salt Typhoon la sua portata oltre un singolo settore, amplificando così la sua influenza e aumentando la gravità del suo potenziale impatto. Questo approccio di ampio respiro aumenta la minaccia che grava sui sistemi di comunicazione critici in tutto il mondo.

Potenziali prossime mosse di Salt Typhoon

Date le loro tattiche aggressive e la loro influenza in espansione, Salt Typhoon potrebbe:

  • Estendere gli attacchi ad altri settori critici delle infrastrutture quali energia, finanza, sanità e trasporti.
  • Sviluppare malware, rootkit ed zero-day più avanzati per non essere rilevati e mantenere l'accesso a lungo termine.
  • Sfruttare le vulnerabilità della catena di approvvigionamento prendendo di mira fornitori e appaltatori terzi per infiltrarsi in altre reti e diffondere malware.
  • Sfruttare i dati compromessi per ottenere vantaggi strategici, ricatti o per lanciare ulteriori attacchi mirati.

Le organizzazioni devono anticipare queste potenziali mosse e rafforzare di conseguenza la propria posizione in materia di sicurezza informatica.

TTP utilizzati da Salt Typhoon

Scopri di più sulle tecniche, tattiche e procedure utilizzate da Salt Typhoon nostro podcast Threat Briefing >

Raccomandazioni chiave della CISA

Le ultime linee guida CISA sottolineano l'importanza delle misure preventive e di rilevamento. Le organizzazioni dovrebbero implementare le azioni raccomandate relative a visibilità, monitoraggio, gestione della configurazione, segmentazione, protocolli sicuri, controlli di accesso e tecniche di rafforzamento specifiche per i fornitori.

1. Rafforzamento della visibilità e del monitoraggio

Le operazioni Salt Typhoonsi basano su metodi di intrusione furtivi e sul nascondersi nel normale traffico di rete. Migliorare la visibilità e il monitoraggio consente ai difensori di rilevare tempestivamente comportamenti anomali, identificare movimenti laterali sospetti e rispondere rapidamente prima che gli aggressori prendano piede.

Raccomandazioni della CISA:

  • Esaminare attentamente le modifiche alla configurazione dei dispositivi di rete e implementare un sistema di allerta completo per rilevare eventuali modifiche non autorizzate.
  • Utilizza soluzioni efficaci per il monitoraggio dei flussi, garantisci la registrazione centralizzata con crittografia e archivia in modo sicuro i dati di log.
  • Integrare funzionalità di acquisizione dei pacchetti e comportamento di rete normale di riferimento per rilevare anomalie.

Vectra AI :

Attack Signal IntelligenceVectra AI applica tecniche di rilevamento comportamentale e correlazione basate sull'intelligenza artificiale all'intero footprint dell'attacco, inclusi host, account e carichi di lavoro. Utilizzando un approccio incentrato sulle entità per il rilevamento delle minacce, Vectra AI ai team di sicurezza una visibilità completa sull'attività di rete e sul comportamento degli utenti.

Ciò è in linea con le pratiche raccomandate per rafforzare la visibilità e il monitoraggio, in quanto consente agli operatori di:

  • Correlare e dare priorità agli eventi: sfruttare l'analisi integrata per collegare indicatori apparentemente innocui provenienti da varie fonti (come router, firewall ed endpoint) in una narrazione coerente e prioritaria delle minacce.
  • Migliora le operazioni di sicurezza: integra perfettamente gli strumenti SIEM per arricchire i log e gli avvisi con il contesto, riducendo il rumore e consentendo una selezione e un'analisi più efficienti.
  • Accelerare i tempi di risposta: rilevare e tracciare le azioni ostili in tempo reale, garantendo che i team di sicurezza possano agire rapidamente prima che gli aggressori prendano piede o causino danni significativi. Fornendo una visibilità approfondita e continua e informazioni contestualizzate, Vectra AI le organizzazioni ad allinearsi alle linee guida delineate dalla CISA e dai suoi partner, garantendo che i sistemi di monitoraggio possano rilevare, indagare e rispondere in modo efficace alle tattiche e alle tecniche impiegate da gruppi di minaccia sofisticati come Salt Typhoon.

2. Sistemi e dispositivi di indurimento

Salt Typhoon vulnerabilità non corrette, configurazioni deboli e reti di gestione non sicure. Rafforzando i sistemi e i dispositivi, le organizzazioni riducono la capacità degli aggressori di sfruttare le debolezze note e limitano l'impatto di eventuali intrusioni riuscite.

Raccomandazioni della CISA:

  • Implementare reti di gestione fuori banda fisicamente separate dalla rete di flusso dati.
  • Applicare gli elenchi di controllo degli accessi (ACL) con rifiuto predefinito e una segmentazione rigorosa utilizzando VLAN, DMZ e strutture difensive a più livelli.
  • Utilizza metodi crittografici affidabili per le VPN e disattiva i servizi non necessari.
  • Applicare regolarmente le patch dei fornitori, seguire un solido processo di gestione delle modifiche e rispettare le politiche di sicurezza relative alle password.

Vectra AI :

Mentre le organizzazioni applicano configurazioni rafforzate, Vectra AI visibilità continua sui segmenti di rete e rileva i tentativi di movimento laterale che potrebbero aggirare le difese tradizionali. Le analisi avanzate della soluzione aiutano a identificare le deviazioni nel comportamento causate da accessi dannosi e escalation dei privilegi, supportando gli operatori nel mantenimento di una segmentazione forte e nell'applicazione di politiche di accesso rigorose.

3. Protocolli e processi di gestione

Salt Typhoon protocolli non sicuri, autenticazioni deboli e credenziali amministrative gestite in modo errato per muoversi all'interno delle reti. Il rafforzamento dei protocolli e dei processi di gestione limita la capacità degli avversari di ottenere privilegi elevati e muoversi attraverso infrastrutture critiche.

Raccomandazioni della CISA:

  • Limitare la gestione dei dispositivi a workstation amministrative dedicate e affidabili.
  • Disattivare o limitare l'esposizione del traffico di gestione a Internet.
  • Utilizzare una crittografia forte e algoritmi crittografici moderni per i protocolli di gestione.
  • Utilizzare il controllo degli accessi basato sui ruoli (RBAC) e i framework di autenticazione, autorizzazione e contabilità (AAA).

Vectra AI :

Vectra AI rileva eventi di autenticazione sospetti e può avvisare gli operatori in caso di anomalie nei protocolli di gestione o attività inattese sugli account. Ciò integra i rigorosi controlli di accesso e garantisce che qualsiasi tentativo dannoso di gestire i dispositivi di rete venga segnalato per un'indagine tempestiva.

4. Linee guida specifiche per Cisco

Salt Typhoon osservato Salt Typhoon sfrutta le funzionalità e le impostazioni predefinite specifiche di Cisco. L'applicazione delle raccomandazioni di rafforzamento mirate a Cisco riduce le opportunità degli avversari di abusare delle funzionalità specifiche del fornitore e ottenere un accesso persistente alla rete.

Raccomandazioni della CISA:

  • Disattivare le funzionalità specifiche Cisco (ad esempio Smart Install) se non necessarie.
  • Applicare impostazioni di gestione web sicure o disabilitare i servizi web non necessari.
  • Adottare meccanismi di archiviazione sicura delle password (ad esempio, Type-8) e garantire che le chiavi TACACS+ siano crittografate.

Vectra AI :

Mentre i difensori della rete rafforzano gli ambienti Cisco, Vectra AI monitora Vectra AI l'introduzione di modelli dannosi indicativi di comportamenti minacciosi precedentemente osservati e affiliati alla Repubblica Popolare Cinese. Questa tecnologia integra le best practice specifiche dei fornitori, aiutando a individuare attività sospette che potrebbero emergere dopo l'applicazione delle misure di rafforzamento.

5. Segnalazione degli incidenti e sicurezza fin dalla progettazione

Gli attacchi Salt Typhoontraggono vantaggio dalle risposte ritardate e dai prodotti non sicuri. Una segnalazione tempestiva aiuta le agenzie governative a monitorare e rispondere alle minacce in evoluzione, mentre i principi di sicurezza intrinseca riducono la complessità e il rischio di intrusioni sin dall'inizio.

  • Segnalare attività sospette alle autorità competenti (ad esempio FBI, CISA, omologhi stranieri).
  • Adottare principi di sicurezza intrinseca e richiedere impostazioni predefinite sicure a fornitori e distributori.

Grazie alla maggiore visibilità e alle solide capacità di rilevamento, Vectra AI i processi di risposta agli incidenti delle organizzazioni. Il rilevamento tempestivo è in linea con i principi di sicurezza intrinseca, poiché riduce al minimo i tempi di permanenza e mitiga l'impatto delle attività degli avversari. Inoltre, le informazioni fornite dalla soluzione possono supportare la raccolta di prove e facilitare la segnalazione tempestiva alle autorità.

Il fatto Salt Typhoonabbia preso di mira le infrastrutture di telecomunicazione sottolinea l'importanza di adottare le misure complete descritte nella Guida per una maggiore visibilità e rafforzamento delle infrastrutture di comunicazione. I tecnici di rete e i responsabili della sicurezza dovrebbero implementare queste raccomandazioni per migliorare il loro livello di sicurezza e ridurre le opportunità di intrusioni ostili.

L'integrazione di soluzioni di sicurezza in linea con queste raccomandazioni rafforza ulteriormente le difese. Le funzionalitàVectra AI integrano le linee guida della CISA migliorando la visibilità, semplificando la correlazione degli eventi e rilevando anomalie comportamentali indicative di attività dannose. Attraverso una combinazione di rigorose pratiche di rafforzamento, l'adesione ai principi di sicurezza fin dalla progettazione e tecnologie avanzate come Vectra AI, le organizzazioni possono proteggere meglio le loro infrastrutture critiche dalle minacce in continua evoluzione poste dai gruppi affiliati alla Repubblica Popolare Cinese e da altri gruppi dannosi.

Vuoi vedere la Vectra AI in azione? Segui il nostro tour autoguidato o richiedi una demo personalizzata oggi stesso.

Domande frequenti