Китайская группа хакеров Salt Typhoon применяет бэкдор GhostSpider для слежки за глобальной инфраструктурой

Исследователи из Trend Micro раскрыли детали о новом инструменте шпионажа, именуемом GhostSpider, который активно используется хакерской группой Salt Typhoon. Этот инструмент предназначен для длительного мониторинга и выделяется своей способностью оставаться незамеченным, работая прямо в оперативной памяти и используя сложные методы шифрования для обмена данными.

GhostSpider является лишь одним из арсенала инструментов, применяемых Salt Typhoon, к которым также относятся Linux-бэкдор Masol RAT и руткит Demodex. Эти инструменты были использованы в ряде кампаний, нацеленных на правительственные учреждения Тайваня, химические предприятия и различные организации в Юго-Восточной Азии, что подчеркивает глобальный характер действий группы. В частности, хакеры эксплуатируют уязвимости в таких системах, как Microsoft Exchange и Sophos Firewall.

Ключевые функции GhostSpider включают выполнение команд в оперативной памяти, управление системными процессами и обмен зашифрованными данными с центральным сервером управления. За счет успешных атак группа получила доступ к телекоммуникационным сетям и персональным данным ряда американских чиновников.

С 2019 года группа Salt Typhoon, также известная под кодовыми названиями Earth Estries и UNC2286, активно ведет разведывательную деятельность, нацеливаясь на ключевые правительственные и телекоммуникационные объекты. Одним из последних открытий стало обнаружение их присутствия в сетях ведущих американских телекоммуникационных компаний на протяжении почти года, что вызвало тревогу у высших эшелонов власти в США и представителей телеком-индустрии.