Зачем кибершпионам сотни доменов? Масштаб инфраструктуры Salt Typhoon превзошёл все ожидания

Исследователи Silent Push обнаружили инфраструктуру, связанную с китайскими кибершпионами Salt Typhoon и UNC4841. В новую выборку вошли 45 ранее не публиковавшихся доменов, часть которых была зарегистрирована ещё в мае 2020 года. Это опровергает представление о том, что громкие атаки Salt Typhoon на американских телеком-операторов в 2024-м стали их первым выходом — активность группировки фиксируется минимум с 2019 года.

Salt Typhoon, по данным аналитиков, действует под управлением Министерства госбезопасности Китая и имеет сходство с кампаниями, которые отслеживаются под именами Earth Estries, FamousSparrow, GhostEmperor и UNC5807. Группа UNC4841, с которой пересекается инфраструктура, известна эксплуатацией 0day- уязвимости в шлюзах Barracuda ESG — CVE-2023-2868 (оценка CVSS 9.8).

При анализе регистрационных данных специалисты выяснили, что для создания 16 доменов использовались почтовые адреса Proton Mail, оформленные на вымышленных владельцев с фиктивными адресами. Самый старый выявленный ресурс — onlineeylity[.]com, зарегистрированный 19 мая 2020 года на поддельное имя Monica Burch, якобы проживающую в Лос-Анджелесе.

Анализ IP-адресов, связанных с доменами, показал, что значительная часть указывала на адреса с высокой концентрацией доменов (когда к одному IP привязаны десятки или сотни имён). На ресурсах с низкой концентрацией (один IP используется для одного или нескольких доменов) первая активность отслеживается с октября 2021 года.

Silent Push предупредила, что организации, которые могут попасть в зону интереса китайской разведки, должны проверить DNS-логи за последние пять лет на предмет обращений к этим доменам или их поддоменам, а также проанализировать сетевые запросы к выявленным IP-адресам в периоды активности атакующих.