Cisco потвърждава, че използваният солен тайфун CVE-2018-0171 е насочен към телекомуникационните мрежи на САЩ
Cisco официално потвърди, че спонсорираният от китайската държава заплаха, известен като Salt Typhoon, успешно е проникнал в телекомуникационните мрежи на САЩ, използвайки известна уязвимост, CVE-2018-0171. Този пропуск в сигурността, съчетан с използването на откраднати идентификационни данни за вход, позволи на нападателите да поддържат дългосрочен достъп до компрометирана среда, като един случай продължи повече от три години.
Според Cisco Talos, операциите на Salt Typhoon показват високо ниво на усъвършенстване, координация и търпение – общи черти на напредналите групи за постоянна заплаха (APT). Кампанията подчертава продължаващите рискове, породени от актьори от националната държава, които стратегически проникват в критична инфраструктура, за да установят дълбоки и устойчиви опорни точки.
Съдържание
Дългосрочна, добре координирана кампания за кибер шпионаж
Способността на Salt Typhoon да остава незабелязан в продължение на години подчертава усъвършенстваната тактика на групата. Тяхната постоянство в оборудването на множество доставчици предполага щателно планиране и добре финансирана операция. За разлика от опортюнистични киберпрестъпници, които използват уязвимостите за незабавна печалба, спонсорирани от държавата участници като Salt Typhoon често се стремят към устойчив достъп, което им позволява да събират разузнавателна информация, да прекъсват операции или да се подготвят за бъдещи кибератаки.
Докато предишни доклади предполагаха, че Salt Typhoon също използва по-нови уязвимости, като CVE-2023-20198 и CVE-2023-20273, Cisco не намери доказателства в подкрепа на тези твърдения. Вместо това основният метод за експлоатация остава CVE-2018-0171, пропуск в протокола за интелигентно инсталиране (SMI) на Cisco, комбиниран с кражба на идентификационни данни.
Откраднати идентификационни данни: Ключът към първоначалния достъп
Съществен аспект на тази кампания е използването на валидни, откраднати идентификационни данни за получаване на достъп до мрежови устройства. Докато точният метод, използван от Salt Typhoon за получаване на тези идентификационни данни, все още не е ясен, доказателствата сочат, че те активно са търсили съхранени данни за вход в компрометирани системи. Те също така наблюдават мрежовия трафик, за да уловят данни за удостоверяване, специално насочени към SNMP, TACACS и RADIUS протоколи за извличане на секретни ключове и други идентификационни данни за влизане.
Веднъж попаднали в мрежата, Salt Typhoon използва различни техники, за да разшири обхвата си и да осигури продължителен достъп. Те включват промяна на конфигурациите на мрежовите устройства, създаване на неоторизирани локални акаунти, разрешаване на достъп до Shell за гости и настройка на постоянен SSH достъп.
Техники за живеене извън земята и завъртане на мрежата
Salt Typhoon използва техники за живеене извън земята (LOTL), които включват злоупотреба със законни системни инструменти и инфраструктура, за да се избегне откриването. Използвайки компрометирани мрежови устройства като опорни точки, те успяха да прескачат от една телеком мрежа в друга, като същевременно останаха скрити. Тези компрометирани устройства вероятно са служили като междинни релета, помагайки на нападателите или да се придвижат странично към крайните си цели, или да установят изходящи маршрути за ексфилтриране на данни.
За по-нататъшно избягване на откриването, Salt Typhoon манипулира мрежовите конфигурации, като променя адресите на интерфейса за обратна връзка на компрометирани комутатори. Това им позволи да установят SSH връзки, които заобикалят списъците за контрол на достъпа (ACL), предоставяйки неограничено движение в рамките на целевата среда.
JumbledPath: Персонализиран инструмент за скрити операции
Едно от най-тревожните открития е използването от Salt Typhoon на специално изработен инструмент, наречен JumbledPath, който е специално проектиран за скрито проникване в мрежа. Този базиран на Go ELF двоичен файл позволява на атакуващите да изпълняват улавяне на пакети на отдалечени устройства на Cisco чрез управляван от актьор скок хост. Инструментът може също така да изчисти системните регистрационни файлове и да деактивира изцяло регистрирането, което прави съдебния анализ значително по-труден.
Периодичните усилия за изтриване на регистрационни файлове допълнително намаляват видимостта на техните дейности. Беше наблюдавано как Salt Typhoon изтрива критични регистрационни файлове, включително .bash_history, auth.log, lastlog, wtmp и btmp, за да прикрие следите си и да гарантира, че операциите им остават неоткрити за продължителни периоди.
Текуща експлоатация на устройства на Cisco
Отвъд дейностите на Salt Typhoon, Cisco също откри широко разпространено насочване към своите устройства с разкрити функции за интелигентно инсталиране (SMI), което води до продължаващо използване на CVE-2018-0171. Cisco обаче пояснява, че тази дейност не е свързана с Salt Typhoon и не изглежда да е свързана с известна група заплахи.
Как организациите могат да се защитят срещу тези атаки
Предвид постоянния характер на операциите на Salt Typhoon, организациите – особено тези в телекомуникационния сектор – трябва да предприемат проактивни стъпки, за да осигурят своите мрежи. Препоръчителните защитни мерки включват:
- Деактивиране на Smart Install (SMI): Ако не се изисква, SMI трябва да бъде изключен, за да се намали рискът от експлоатация.
- Налагане на многофакторно удостоверяване (MFA): Откраднатите идентификационни данни са по-малко ефективни, ако MFA се изисква за удостоверяване.
Успешното проникване на Salt Typhoon в телекомуникационните мрежи на САЩ подчертава значението на бдителността по отношение на киберсигурността. Способността им да използват уязвимост от години, да откраднат идентификационни данни и да останат незабелязани за продължителни периоди показва развиващата се среда на заплахи. Организациите трябва да дадат приоритет на проактивни стратегии за защита, включително стабилно управление на корекции, наблюдение на мрежата и строг контрол на достъпа, за да намалят рисковете, породени от спонсорирани от държавата киберзаплахи.