Salt Typhoon: új domainek
A Silent Push friss információkat hozott nyilvánosságra a Salt Typhoon néven ismert kínai államilag támogatott APT-csoport működéséről, amely 2019 óta aktív, és világméretű infrastruktúrákat, különösen telekommunikációs szolgáltatókat használ ki. A kutatócsapat azonosított 45, korábban nem nyilvánosan dokumentált domaint, amelyek közül az elsők regisztrálása már 2020 májusában megtörtént. November óta nem figyeltek meg újabb ilyen technikai ujjlenyomatokat, így ezek inkább már leállított, örökségként felfedhető mutatók.
A Salt Typhoon mellett az UNC4841 nevű másik kínai csoport is érintett lehet,mert mindkettő hasonló infrastruktúrát használt, és azonos célpontokat – állami és vállalati rendszereket – szemelt meg. A kutatók WHOIS adatok, e-mail regisztrációk és közös minták alapján jutottak az új domainjeikhez – néhol hiányzó valós címekkel álprofilokat használva, mint Monica Burch, aki Los Angeles-i címre hivatkozott. Az IP-helyek vizsgálata során kiderült, hogy egyes domainjezak magas sűrűségű címekhez tartoztak, míg mások már 2021 októberében használt, alacsony sűrűségű IP-ken jelentek meg.
Ezek a domének biztonsági szervezetek számára előre nem látható nyomokat jelentenek, segítve a korábbi kompromittáltság feltérképezését, visszamenőleges vizsgálatát. A Silent Push javasolja, hogy mindazon szervezetek, amelyek kínai kémtevékenységnek lehettek kitéve, ellenőrizzék DNS és naplóadatokat az elmúlt öt évre visszamenőleg, és vizsgálják meg az ezekhez kapcsolódó IP-címeket is.
