أكدت شركة Cisco أن Salt Typhoon استغل الثغرة CVE-2018-0171 لاستهداف شبكات الاتصالات الأمريكية

بواسطة Mura في أمن الكمبيوتر

ترجمة الى:

أكدت شركة سيسكو رسميًا أن الجهة الفاعلة التي ترعاها الدولة الصينية والمعروفة باسم Salt Typhoon نجحت في التسلل إلى شبكات الاتصالات الأمريكية من خلال استغلال ثغرة أمنية معروفة، CVE-2018-0171. وقد مكّن هذا الخلل الأمني، إلى جانب استخدام بيانات اعتماد تسجيل الدخول المسروقة، المهاجمين من الحفاظ على الوصول طويل الأمد إلى البيئات المخترقة، حيث استمرت إحدى الحالات لأكثر من ثلاث سنوات.

وفقًا لشركة Cisco Talos، فإن عمليات Salt Typhoon تتميز بمستوى عالٍ من التطور والتنسيق والصبر - وهي السمات المشتركة لمجموعات التهديدات المستمرة المتقدمة (APT). وتؤكد الحملة على المخاطر المستمرة التي تشكلها الجهات الفاعلة في الدول القومية التي تتسلل بشكل استراتيجي إلى البنية التحتية الحيوية لإنشاء موطئ قدم عميق ودائم.

جدول المحتويات

حملة تجسس سيبرانية طويلة الأمد ومنسقة للغاية

إن قدرة Salt Typhoon على البقاء دون أن يتم اكتشافها لسنوات تسلط الضوء على التكتيكات المتقدمة التي تنتهجها المجموعة. إن استمرارها في اختراق معدات العديد من البائعين يشير إلى التخطيط الدقيق والعملية الممولة جيدًا. وعلى عكس مجرمي الإنترنت الانتهازيين الذين يستغلون نقاط الضعف لتحقيق مكاسب فورية، فإن الجهات الفاعلة التي ترعاها الدولة مثل Salt Typhoon غالبًا ما تهدف إلى الوصول المستدام، مما يسمح لها بجمع المعلومات الاستخباراتية، أو تعطيل العمليات، أو الاستعداد لهجمات إلكترونية مستقبلية.

في حين أشارت التقارير السابقة إلى أن Salt Typhoon استغلت أيضًا ثغرات أمنية أحدث، مثل CVE-2023-20198 وCVE-2023-20273، لم تجد شركة Cisco أي دليل يدعم هذه الادعاءات. وبدلاً من ذلك، تظل الطريقة الأساسية للاستغلال هي CVE-2018-0171، وهو خلل في بروتوكول Smart Install (SMI) من شركة Cisco، إلى جانب سرقة بيانات الاعتماد.

بيانات الاعتماد المسروقة: مفتاح الوصول الأولي

إن أحد الجوانب الأساسية لهذه الحملة هو استخدام بيانات اعتماد صالحة مسروقة للوصول إلى أجهزة الشبكة. وفي حين أن الطريقة الدقيقة التي استخدمتها Salt Typhoon للحصول على هذه البيانات لا تزال غير واضحة، فإن الأدلة تشير إلى أنها بحثت بنشاط عن تفاصيل تسجيل الدخول المخزنة داخل الأنظمة المخترقة. كما راقبت حركة المرور على الشبكة لالتقاط بيانات المصادقة، واستهدفت على وجه التحديد بروتوكولات SNMP وTACACS وRADIUS لاستخراج المفاتيح السرية وبيانات اعتماد تسجيل الدخول الأخرى.

بمجرد دخول الشبكة، تستخدم Salt Typhoon تقنيات مختلفة لتوسيع نطاق وصولها وضمان الوصول المطول. وشملت هذه التقنيات تعديل تكوينات أجهزة الشبكة، وإنشاء حسابات محلية غير مصرح بها، وتمكين الوصول إلى Guest Shell، وإعداد وصول SSH مستمر.

تقنيات العيش من الأرض والتحول الشبكي

استفادت مجموعة Salt Typhoon من تقنيات العيش خارج الأرض (LOTL)، والتي تنطوي على إساءة استخدام أدوات النظام والبنية الأساسية المشروعة لتجنب الكشف. من خلال استخدام أجهزة الشبكة المخترقة كنقطة محورية، تمكنوا من القفز من شبكة اتصالات إلى أخرى مع البقاء مختبئين. من المرجح أن تعمل هذه الأجهزة المخترقة كمرحلات وسيطة، مما يساعد المهاجمين إما على التحرك أفقيًا نحو أهدافهم النهائية أو إنشاء طرق لتسريب البيانات الصادرة.

وللتهرب من الكشف بشكل أكبر، قام Salt Typhoon بالتلاعب بتكوينات الشبكة من خلال تغيير عناوين واجهة الحلقة الراجعة على المفاتيح المخترقة. وقد سمح لهم هذا بإنشاء اتصالات SSH تتجاوز قوائم التحكم في الوصول (ACLs)، مما يمنح حركة غير مقيدة داخل البيئة المستهدفة.

JumbledPath: أداة مخصصة للعمليات الخفية

من بين الاكتشافات الأكثر إثارة للقلق استخدام Salt Typhoon لأداة مخصصة تسمى JumbledPath، والتي تم تصميمها خصيصًا للتسلل إلى الشبكة خفية. يتيح ملف ELF الثنائي المستند إلى Go للمهاجمين تنفيذ عمليات التقاط الحزم على أجهزة Cisco البعيدة عبر مضيف انتقالي يتحكم فيه الفاعل. يمكن للأداة أيضًا مسح سجلات النظام وتعطيل التسجيل تمامًا، مما يجعل التحليل الجنائي أكثر صعوبة بشكل كبير.

إن جهود محو السجلات الدورية تقلل من وضوح أنشطتهم. وقد لوحظ أن Salt Typhoon يحذف السجلات الهامة، بما في ذلك .bash_history وauth.log وlastlog وwtmp وbtmp، لتغطية آثارهم وضمان بقاء عملياتهم غير مكتشفة لفترات طويلة.

الاستغلال المستمر لأجهزة سيسكو

بالإضافة إلى أنشطة Salt Typhoon، اكتشفت Cisco أيضًا استهدافًا واسع النطاق لأجهزتها بميزات Smart Install (SMI) المكشوفة، مما أدى إلى استمرار استغلال CVE-2018-0171. ومع ذلك، أوضحت Cisco أن هذا النشاط غير مرتبط بـ Salt Typhoon ولا يبدو أنه مرتبط بأي مجموعة تهديد معروفة.

كيف يمكن للمنظمات الدفاع ضد هذه الهجمات

نظرًا للطبيعة المستمرة لعمليات Salt Typhoon، يتعين على المنظمات - وخاصة تلك العاملة في قطاع الاتصالات - اتخاذ خطوات استباقية لتأمين شبكاتها. تشمل التدابير الدفاعية الموصى بها ما يلي:

تعطيل التثبيت الذكي (SMI): إذا لم يكن ذلك ضروريًا، فيجب إيقاف تشغيل التثبيت الذكي (SMI) للتخفيف من خطر الاستغلال.
فرض المصادقة متعددة العوامل (MFA): تكون بيانات الاعتماد المسروقة أقل فعالية إذا كان المصادقة متعددة العوامل مطلوبة للمصادقة.

تحديث البرامج الثابتة بانتظام وتصحيح الثغرات الأمنية: كان CVE-2018-0171 معروفًا منذ سنوات، ومع ذلك يواصل المهاجمون استغلاله بسبب الأنظمة غير المصححة.

مراقبة حركة الشبكة بحثًا عن أي تشوهات: يجب على المؤسسات مراقبة طلبات المصادقة ونشاط SSH غير المعتاد وتغييرات التكوين غير المتوقعة عن كثب.

تنفيذ سياسات قوية للتحكم في الوصول: إن تقييد الوصول إلى البنية التحتية الحيوية قد يحد من قدرة المهاجم على التحرك أفقياً داخل الشبكة.

إن نجاح هجوم Salt Typhoon في اختراق شبكات الاتصالات في الولايات المتحدة يؤكد على أهمية اليقظة في مجال الأمن السيبراني. إن قدرة هذه الهجمات على استغلال ثغرة أمنية عمرها سنوات، وسرقة بيانات الاعتماد، والبقاء دون أن يتم اكتشافها لفترات طويلة، توضح المشهد المتطور للتهديدات. ويتعين على المنظمات إعطاء الأولوية لاستراتيجيات الدفاع الاستباقية، بما في ذلك إدارة التصحيحات القوية، ومراقبة الشبكة، وضوابط الوصول الصارمة، للتخفيف من المخاطر التي تشكلها التهديدات السيبرانية التي ترعاها الدولة.

إعلان شركة Digital River GmbH، وهي شركة معالجة المدفوعات التابعة لشركة EnigmaSoft، إفلاسها لا يؤثر على حماية عملاء SpyHunter من البرامج الضارة

بحث

تغيير المنطقة