พายุเกลือ

พายุเกลือ
การก่อตัว	ค.ศ. 2020
พิมพ์	ภัยคุกคามขั้นสูงที่คงอยู่ถาวร
วัตถุประสงค์	การจาร กรรมทางไซเบอร์การต่อต้านข่าวกรองการขโมยข้อมูล
ที่ตั้ง	จีน;
องค์กรแม่	กระทรวงความมั่นคงแห่งรัฐ
สังกัด	Sichuan Juxinhe Network Technology Co. Ltd. Beijing Huanyu Tianqiong Information Technology Co., Ltd. Sichuan Zhixin Ruijie Network Technology Co., Ltd.

Salt Typhoonเป็น กลุ่มผู้ก่อ ภัยคุกคามขั้นสูงที่เชื่อว่าดำเนินการโดยกระทรวงความมั่นคงแห่งรัฐของจีน (MSS) ซึ่งได้ดำเนินการโจมตี ทางไซเบอร์ที่มีชื่อเสียงโดยเฉพาะอย่างยิ่งต่อสหรัฐอเมริกาการดำเนินงานของกลุ่มนี้เน้นเป้าหมายด้านการต่อต้านข่าวกรองในสหรัฐอเมริกาและการขโมยข้อมูล ทรัพย์สินทางปัญญาที่สำคัญขององค์กรกลุ่มนี้ได้แทรกซึมเข้าไปในเป้าหมายมากกว่า 200 แห่งในกว่า 80 ประเทศ^[¹^]อดีต นักวิเคราะห์ NSAเทอร์รี ดันแลป ได้อธิบายกลุ่มนี้ว่าเป็น "ส่วนประกอบหนึ่งของกลยุทธ์ 100 ปีของจีน" ^[²^]

การจัดระเบียบและการอ้างอิง

เป็นที่เข้าใจกันโดยทั่วไปว่า Salt Typhoon ดำเนินการโดยกระทรวงความมั่นคงแห่งรัฐ ของจีน (MSS) หน่วยข่าวกรองต่างประเทศและตำรวจลับ ของ จีน^{[ 3 ]}^{[ 4 ]}สถานทูตจีนในนิวซีแลนด์ปฏิเสธข้อกล่าวหาทั้งหมด โดยกล่าวว่าเป็น "การใส่ร้ายป้ายสีที่ไม่มีมูลความจริงและไร้ความรับผิดชอบ" ^{[ 5 ]}

ตามรายงานของTrend Microกลุ่มนี้เป็น "กลุ่มที่มีการจัดระเบียบอย่างดีและมีการแบ่งงานที่ชัดเจน" โดยมีการโจมตีไปยังภูมิภาคและอุตสาหกรรมต่างๆ โดยผู้กระทำที่แตกต่างกัน ซึ่งบ่งชี้ว่ากลุ่มนี้ประกอบด้วยทีมต่างๆ "ซึ่งยิ่งเน้นย้ำถึงความซับซ้อนของการดำเนินงานของกลุ่ม" ^{[ 6 ]}^{[ 7 ]} มีรายงานว่า การโจมตีทางไซเบอร์เริ่มขึ้นตั้งแต่ปี 2023 เป็นอย่างน้อย^{[ 8 ]}

ประวัติศาสตร์

ปี 2023 ถึง 2024: การโจมตีทางไซเบอร์ด้านโทรคมนาคม

ในเดือนกันยายน พ.ศ. 2567 มีรายงานครั้งแรกว่าการโจมตีทางไซเบอร์อย่างรุนแรงได้ทำให้ระบบโทรคมนาคมของสหรัฐฯ เสียหาย เจ้าหน้าที่สหรัฐฯ ระบุว่าแคมเปญดังกล่าวน่าจะดำเนินมาเป็นเวลาหนึ่งถึงสองปีก่อนที่จะถูกค้นพบ โดยมีหลายสิบประเทศที่ได้รับผลกระทบจากการแฮ็ก รวมถึงประเทศในยุโรปและอินโดแปซิฟิก [ ^{9 ] มี}รายงานว่าแคมเปญดังกล่าว "มีจุดประสงค์เพื่อเป็นโครงการจารกรรมของจีนที่มุ่งเป้าไปที่เจ้าหน้าที่รัฐบาลที่สำคัญ [และ] ทรัพย์สินทางปัญญาที่สำคัญของบริษัท" ^{[ 3 ]}^{[ 10 ]}

ในช่วงปลายปี 2024 เจ้าหน้าที่สหรัฐฯ ประกาศว่าแฮกเกอร์ที่เกี่ยวข้องกับ Salt Typhoon ได้เข้าถึงระบบคอมพิวเตอร์ของบริษัทโทรคมนาคม ของสหรัฐฯ จำนวน 9 แห่ง ซึ่งต่อมาได้รับการยืนยันว่ารวมถึงVerizon , AT&T , T-Mobile , Spectrum , Lumen , Consolidated CommunicationsและWindstream ^{[ 11 ]}^{[ 12 ]}^{[ 13 ]}การโจมตีมุ่งเป้าไปที่ เครือข่าย บรอดแบนด์ ของสหรัฐฯ โดยเฉพาะส่วนประกอบเครือข่ายหลัก รวมถึงเราเตอร์ที่ผลิตโดยCiscoซึ่งทำหน้าที่กำหนดเส้นทางอินเทอร์เน็ตส่วนใหญ่^{[ 3 ]}^{[ 4 ]}ในเดือนตุลาคม 2024 เจ้าหน้าที่สหรัฐฯ เปิดเผยว่ากลุ่มดังกล่าวได้บุกรุก ระบบ ของผู้ให้บริการอินเทอร์เน็ต (ISP) ที่ใช้ในการดำเนินการตาม คำขอ CALEA ซึ่งหน่วยงานบังคับใช้กฎหมายและหน่วยข่าวกรองของสหรัฐฯ ใช้ในการ ดักฟังโทรศัพท์ที่ได้รับอนุญาตจากศาล^{[ 12 ]}

แฮกเกอร์สามารถเข้าถึงเมตาเดต้าของการโทรและข้อความ ของผู้ใช้ รวมถึงการประทับเวลาและวันที่ ที่อยู่IP ต้นทางและปลายทาง และหมายเลขโทรศัพท์จากผู้ใช้กว่าล้านคน ซึ่งส่วนใหญ่อยู่ในเขตมหานครวอชิงตัน ดี.ซี.ในบางกรณี แฮกเกอร์สามารถบันทึกเสียงการโทรศัพท์ของบุคคลที่มีชื่อเสียงได้^{[ 14 ]}มีรายงานว่าบุคคลดังกล่าวรวมถึงเจ้าหน้าที่ของแคมเปญหาเสียงเลือกตั้งประธานาธิบดีของคามาลา แฮร์ริสในปี 2024รวมถึงโทรศัพท์ของโดนัลด์ ทรัมป์และเจดี แวนซ์ [ ^{15 ] ตาม}คำกล่าวของแอนน์ นอยเบอร์ เกอร์ รองที่ปรึกษาด้านความมั่นคงแห่งชาติ บุคคลจำนวนมากที่มีข้อมูลถูกเข้าถึงโดยตรงนั้นเป็น "เป้าหมายที่รัฐบาลให้ความสนใจ" ^{[ 14 ]}

ในเดือนมีนาคม พ.ศ. 2568 คณะกรรมการความมั่นคงแห่งมาตุภูมิของสภาผู้แทนราษฎรสหรัฐฯได้ร้องขอให้กระทรวงความมั่นคงแห่งมาตุภูมิ (DHS) ส่งมอบเอกสารเกี่ยวกับการตอบสนองของรัฐบาลกลางต่อการแฮ็ก^{[ 16 ]}

รัฐบาลทรัมป์ชุดที่สองได้ไล่สมาชิกทั้งหมดของคณะกรรมการตรวจสอบความปลอดภัยทางไซเบอร์ ออก ก่อนที่จะสามารถดำเนินการสอบสวนการบุกรุกให้เสร็จสิ้น^{[ 17 ]}ในเดือนเมษายน พ.ศ. 2568 สำนักงานสอบสวนกลาง (FBI) ประกาศรางวัล 10 ล้านดอลลาร์สหรัฐสำหรับข้อมูลเกี่ยวกับบุคคลที่เกี่ยวข้องกับ Salt Typhoon ^{[ 18 ]}

ในเดือนธันวาคม พ.ศ. 2567 Verizon และ AT&T ประกาศว่าพวกเขาสามารถควบคุมเหตุการณ์ดังกล่าวได้แล้ว และผู้ก่อภัยคุกคามไม่สามารถเข้าถึงเครือข่ายของพวกเขาได้อีกต่อไป^{[ 19 ]}เมื่อวันที่ 12 มิถุนายน พ.ศ. 2568 วุฒิสมาชิก มาเรี ย แคนต์เวลล์สมาชิกอาวุโสของคณะกรรมการวุฒิสภาด้านการพาณิชย์ วิทยาศาสตร์ และการขนส่งได้เขียนจดหมายถึงซีอีโอของ AT&T และ Verizon เพื่อขอให้พวกเขาส่งข้อมูลโดยละเอียดเกี่ยวกับการสืบสวนด้านความปลอดภัยทางไซเบอร์ที่ดำเนินการในทั้งสองบริษัท วุฒิสมาชิกแคนต์เวลล์ขอรายชื่อช่องโหว่ทั้งหมดที่ระบุได้ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงได้ รวมถึงแผนการแก้ไขและเอกสารที่สนับสนุนข้ออ้างที่ว่า Salt Typhoon ไม่ได้อยู่ในเครือข่ายของพวกเขาอีกต่อไป^{[ 20 ]}

8 เดือนต่อมา ในเดือนกุมภาพันธ์ พ.ศ. 2569 วุฒิสมาชิกแคนต์เวลล์ได้ส่งจดหมายถึงประธานคณะกรรมการเท็ด ครูซเพื่อขอให้มีการจัดประชุมรับฟังความคิดเห็น โดยจะสอบถามซีอีโอของ AT&T และ Verizon เกี่ยวกับความปลอดภัยของเครือข่ายในปัจจุบัน จดหมายดังกล่าวระบุว่าทั้งสองบริษัทได้ว่าจ้างMandiantให้ทำการประเมินความปลอดภัย แต่ Mandiant ไม่ได้จัดทำรายงานที่ได้จากการประเมินดังกล่าวหลังจากที่ได้ร้องขอไปแล้ว^{[ 21 ]}

ปี 2024 ถึง 2025: กองกำลังรักษาชาติและคณะกรรมการรัฐสภา

เมื่อวันที่ 11 มิถุนายน พ.ศ. 2568 DHS ได้เผยแพร่รายงานชื่อSalt Typhoon: Data Theft Likely Signals Expanded Targeting ในรายงานดังกล่าว หน่วยงานได้อธิบายว่ากลุ่มผู้ก่อภัยคุกคามได้เจาะระบบเครือข่ายของ กองกำลังรักษาดินแดนแห่งชาติของรัฐหนึ่งในสหรัฐอเมริกาที่ไม่ระบุชื่อ^{[ 22 ]}

ในเดือนสิงหาคม พ.ศ. 2568 FBI ระบุว่า Salt Typhoon ได้แฮ็กบริษัทอย่างน้อย 200 แห่งใน 80 ประเทศ^{[ 1 ]}

ในเดือนธันวาคม พ.ศ. 2568 ตรวจพบการแทรกแซงใน คณะกรรมการ สภาผู้แทนราษฎรของสหรัฐอเมริกา หลายแห่ง และต่อมาพบว่าเป็นผลมาจากพายุไต้ฝุ่นเกลือ^{[ 23 ]}

ออสเตรเลีย

ในเดือนพฤศจิกายน พ.ศ. 2568 ไมค์ เบอร์เจสผู้อำนวยการใหญ่ขององค์การข่าวกรองความมั่นคงแห่งออสเตรเลียกล่าวว่าแฮกเกอร์ที่เชื่อมโยงกับรัฐบาลและกองทัพจีนได้พยายามเข้าถึงโครงสร้างพื้นฐานที่สำคัญของออสเตรเลีย รวมถึงเครือข่ายโทรคมนาคม เขาได้ระบุกลุ่ม Salt Typhoon และVolt Typhoonซึ่งแทรกซึมเข้าไปในระบบของสหรัฐฯ เพื่อทำการจารกรรมและอาจก่อวินาศกรรม และเตือนว่าการสอดแนมในลักษณะเดียวกันนี้เกิดขึ้นในออสเตรเลียเช่นกัน^[²⁴^]^[²⁵^]

เป้าหมาย

ตามรายงานของThe New York Times Salt Typhoon มีเอกลักษณ์เฉพาะตัวตรงที่มุ่งเน้นเป้าหมาย ด้าน การต่อต้านข่าวกรอง เป็นหลัก ^{[ 26 ]}นอกจากผู้ให้บริการอินเทอร์เน็ตของสหรัฐฯ แล้วบริษัทรักษาความปลอดภัยทาง ไซเบอร์ ESET ของสโลวาเกียยังระบุว่า Salt Typhoon เคยเจาะเข้าไปในโรงแรมและหน่วยงานรัฐบาลทั่วโลกมาก่อน^[²⁷^]^[²⁸^]บริษัทโทรคมนาคมของแคนาดาที่ไม่ระบุชื่อถูกโจมตีในเดือนกุมภาพันธ์ 2025 ^[²⁹^]ในเดือนมิถุนายน 2025 Viasat (บริษัทโทรคมนาคมของสหรัฐฯ) ถูกระบุว่าเป็นเหยื่อของ Salt Typhoon ^[³⁰^]

กลยุทธ์ เทคนิค และขั้นตอน

มีรายงานว่า Salt Typhoon ใช้รูทคิตโหมดเคอร์เนลของ Windowsชื่อ Demodex (ชื่อที่ตั้งโดยKaspersky Lab ) ^[³¹^]เพื่อควบคุมระยะไกล^[³²^]เหนือเซิร์ฟเวอร์เป้าหมาย^[³³^]พวกมันแสดงให้เห็นถึงระดับความซับซ้อนสูงและใช้ เทคนิค ต่อต้านนิติวิทยาศาสตร์และต่อต้านการวิเคราะห์เพื่อหลีกเลี่ยงการตรวจจับ^[³³^]

การเข้าถึงเบื้องต้น

เพื่อเข้าถึงเป้าหมายในเบื้องต้น กลุ่มดังกล่าวถูกสังเกตว่าใช้ประโยชน์จากช่องโหว่ที่ทราบในไฟร์วอลล์ เราเตอร์ และผลิตภัณฑ์ VPN: ^{[ 34 ]}^{[ 35 ]}


ซีวีอี	คำอธิบาย
CVE - 2024-21887	ช่องโหว่การแทรกคำสั่งในเว็บคอมโพเนนต์ ของ Ivanti Connect Secure และ Ivanti Policy Secure
CVE - 2024-3400	Palo Alto Networks PAN-OS GlobalProtect มีช่องโหว่ที่อนุญาตให้สร้างไฟล์โดยพลการ ซึ่งนำไปสู่การแทรกคำสั่งระบบปฏิบัติการ
CVE - 2023-20273	การแทรกคำสั่ง/การยกระดับสิทธิ์หลังการตรวจสอบสิทธิ์ในซอฟต์แวร์ Cisco Internetworking Operating System (IOS XE) ผ่านเว็บอินเทอร์เฟซผู้ใช้
CVE - 2023-20198	การข้ามการตรวจสอบสิทธิ์อินเทอร์เฟซผู้ใช้บนเว็บ Cisco IOS XE
CVE - 2018-0171	การเรียกใช้โค้ดจากระยะไกลในการติดตั้งระบบอัจฉริยะ Cisco IOS และ IOS XE
CVE - 2021-26855	ช่องโหว่การปลอมแปลงคำขอฝั่งเซิร์ฟเวอร์ของ Microsoft Exchange Server (ProxyLogon)
CVE - 2022-3236	ช่องโหว่การแทรกโค้ดของไฟร์วอลล์ Sophos
CVE - 2023-48788	ช่องโหว่การโจมตีแบบ SQL Injection ใน FortiClient Enterprise Management Server (FortiClientEMS)
CVE - 2023-46805	ช่องโหว่การข้ามการตรวจสอบสิทธิ์ของ Ivanti Connect Secure และ Ivanti Policy Secure
CVE - 2025-5777	Citrix NetScaler Gateway การเข้าถึงการอ่านหน่วยความจำโดยไม่ต้องมีการตรวจสอบสิทธิ์^{[ 36 ]}

ความอดทน

Salt Typhoon ใช้เทคนิคหลายอย่างเพื่อรักษาการเข้าถึงเป้าหมายและหลีกเลี่ยงการตรวจจับ^{[ 34 ]}

แก้ไขรายการควบคุมการเข้าถึง (ACL) เพื่อเพิ่มที่อยู่ IP
กลุ่มแฮ็กเกอร์กลุ่มนี้ เปิดเผยบริการต่างๆ เช่นSSH , RDPหรือFTPเพื่ออำนวยความสะดวกในการเข้าถึงระยะไกลหรือการขโมยข้อมูล โดยบริการเหล่านี้จะทำงานบนพอร์ตมาตรฐานและพอร์ตที่ไม่เป็นมาตรฐานเพื่อช่วยหลีกเลี่ยงการตรวจจับ นอกจากนี้ยังพบว่ากลุ่มดังกล่าวได้เพิ่มคีย์ลงในบริการ SSH ที่มีอยู่แล้วด้วย
การสร้างอุโมงค์ผ่านโปรโตคอลต่างๆ เช่นGeneric Routing Encapsulation (GRE) หรือIPsecบนอุปกรณ์เครือข่าย
การเรียกใช้คำสั่งภายในคอนเทนเนอร์ Linux บนอุปกรณ์เครือข่าย Cisco ผ่าน Guest Shell ทำให้ผู้โจมตีสามารถเตรียมเครื่องมือ ประมวลผลข้อมูล และเคลื่อนที่ไปมาในเครือข่ายได้โดยไม่ถูกตรวจพบ เนื่องจากกิจกรรมภายในคอนเทนเนอร์โดยทั่วไปจะไม่ได้รับการตรวจสอบ
ใช้เครื่องมือโอเพนซอร์สแบบหลายฮอปเพื่อส่งต่อคำสั่งจากเซิร์ฟเวอร์ควบคุมและสั่งการ

สังกัด

Salt Typhoon ได้รับความช่วยเหลือจากบริษัทจำนวนหนึ่งที่ทำงานอย่างใกล้ชิดกับหน่วยข่าวกรองของจีนเพื่อให้บริการด้านไซเบอร์ ซึ่งรวมถึง: ^{[ 34 ]}

บริษัท เสฉวน จูซินเหอ เน็ตเวิร์ก เทคโนโลยี จำกัด
ปักกิ่ง Huanyu Tianqiong Information Technology Co., Ltd.
เสฉวน Zhixin Ruijie Network Technology Co., Ltd.

เมื่อวันที่ 17 มกราคม พ.ศ. 2568 กระทรวงการคลังสหรัฐฯ ประกาศมาตรการคว่ำบาตรต่อบริษัท Sichuan Juxinhe Network Technology Co., LTD. แถลงการณ์ดังกล่าวกล่าวหาว่า Sichuan Juxinhe มีส่วนเกี่ยวข้องโดยตรงกับพายุไต้ฝุ่นเกลือ และกลุ่มดังกล่าวเป็นผู้รับผิดชอบในการละเมิดบริษัทผู้ให้บริการโทรคมนาคมและอินเทอร์เน็ตของสหรัฐฯ หลายแห่ง^{[ 37 ]}

ชื่อ

Salt Typhoon เป็นชื่อที่ Microsoft กำหนดและเป็นชื่อที่ใช้กันอย่างแพร่หลายที่สุดในการอธิบายกลุ่มนี้^{[ 27 ]}กลุ่มนี้ยังถูกเรียกด้วยชื่อต่างๆ กันอีกด้วย:

Earth EstrieโดยTrend Micro ^{[ 6 ]}
Ghost EmperorโดยKaspersky Lab ^{[ 27 ]}
FamousSparrowโดยESET ^{[ 27 ]}
UNC2286โดยMandiant ^{[ 38 ]}

ดูเพิ่มเติม

[

[ 3 ]

[ 4 ]

[ 5 ]

[ 7 ]

[ 8 ]

9 ] มี

[ 10 ]

[ 11 ]

[ 13 ]

15 ] ตาม

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[ 20 ]

[ 21 ]

[ 22 ]

[ 23 ]

[

[

[ 26 ]

[

[

[

[

[

[

[ 34 ]

[ 35 ]

[ 36 ]

[ 37 ]

[ 38 ]

การก่อตัว	ค.ศ. 2020 ( 2020 )
พิมพ์	ภัยคุกคามขั้นสูงที่คงอยู่ถาวร
วัตถุประสงค์	การจาร กรรมทางไซเบอร์การต่อต้านข่าวกรองการขโมยข้อมูล
ที่ตั้ง	จีน
องค์กรแม่	กระทรวงความมั่นคงแห่งรัฐ
สังกัด	Sichuan Juxinhe Network Technology Co. Ltd. Beijing Huanyu Tianqiong Information Technology Co., Ltd. Sichuan Zhixin Ruijie Network Technology Co., Ltd.