Cisco potvrzuje, že Salt Typhoon Exploited CVE-2018-0171 zacílí na americké telekomunikační sítě
Cisco oficiálně potvrdilo, že čínský státem podporovaný hrozba známý jako Salt Typhoon úspěšně infiltroval americké telekomunikační sítě využitím známé zranitelnosti CVE-2018-0171. Tato bezpečnostní chyba v kombinaci s použitím odcizených přihlašovacích údajů umožnila útočníkům udržet si dlouhodobý přístup do ohrožených prostředí, přičemž jedna instance trvala déle než tři roky.
Podle společnosti Cisco Talos vykazují operace společnosti Salt Typhoon vysokou úroveň propracovanosti, koordinace a trpělivosti, což jsou společné rysy skupin pokročilých perzistentních hrozeb (APT). Kampaň podtrhuje přetrvávající rizika, která představují aktéři národního státu, kteří strategicky infiltrují kritickou infrastrukturu, aby vytvořili hluboké a trvalé opěrné body.
Obsah
Dlouhodobá, vysoce koordinovaná kampaň kybernetické špionáže
Schopnost Salt Typhoon zůstat roky nedetekována zdůrazňuje pokročilou taktiku skupiny. Jejich setrvání na zařízeních různých dodavatelů naznačuje pečlivé plánování a dobře financovaný provoz. Na rozdíl od oportunistických kyberzločinců, kteří využívají zranitelnosti k okamžitému zisku, státem podporovaní aktéři, jako je Salt Typhoon, často usilují o trvalý přístup, který jim umožňuje shromažďovat informace, narušovat operace nebo se připravovat na budoucí kybernetické útoky.
Zatímco předchozí zprávy naznačovaly, že Salt Typhoon také využíval novější zranitelnosti, jako jsou CVE-2023-20198 a CVE-2023-20273, Cisco nenašlo žádné důkazy podporující tato tvrzení. Místo toho zůstává primární metodou využití CVE-2018-0171, chyba v protokolu Cisco Smart Install (SMI) v kombinaci s krádeží pověření.
Ukradené přihlašovací údaje: klíč k počátečnímu přístupu
Základním aspektem této kampaně je použití platných, odcizených přihlašovacích údajů k získání přístupu k síťovým zařízením. Zatímco přesná metoda, kterou Salt Typhoon použila k získání těchto přihlašovacích údajů, je stále nejasná, důkazy naznačují, že aktivně hledali uložené přihlašovací údaje v kompromitovaných systémech. Sledovali také síťový provoz, aby zachytili ověřovací data, konkrétně se zaměřili na protokoly SNMP, TACACS a RADIUS za účelem získání tajných klíčů a dalších přihlašovacích údajů.
Jakmile se Salt Typhoon dostal do sítě, použil různé techniky, aby rozšířil svůj dosah a zajistil prodloužený přístup. Ty zahrnovaly úpravy konfigurací síťových zařízení, vytváření neoprávněných místních účtů, povolení přístupu Guest Shell a nastavení trvalého přístupu SSH.
Životní mimozemské techniky a kontingenční síť
Salt Typhoon využíval techniky živobytí mimo zemi (LOTL), které zahrnují zneužití legitimních systémových nástrojů a infrastruktury, aby se zabránilo odhalení. Použitím kompromitovaných síťových zařízení jako otočných bodů byli schopni přeskakovat z jedné telekomunikační sítě do druhé a přitom zůstat skryti. Tato kompromitovaná zařízení pravděpodobně sloužila jako zprostředkující relé, která útočníkům pomáhala pohybovat se laterálně směrem k jejich konečným cílům nebo vytvářet odchozí cesty pro exfiltraci dat.
Aby se dále vyhnul detekci, Salt Typhoon manipuloval s konfigurací sítě změnou adres rozhraní zpětné smyčky na kompromitovaných přepínačích. To jim umožnilo vytvořit připojení SSH, která obcházela seznamy řízení přístupu (ACL) a umožňovala neomezený pohyb v cílovém prostředí.
JumbledPath: Vlastní nástroj pro nenápadné operace
Jedním z nejvíce znepokojivých objevů je použití nástroje Salt Typhoon na míru s názvem JumbledPath, který je speciálně navržen pro tajnou infiltraci do sítě. Tento binární soubor ELF založený na Go umožňuje útočníkům provádět zachycování paketů na vzdálených zařízeních Cisco prostřednictvím hostitele skoku řízeného aktérem. Nástroj také dokáže vymazat systémové protokoly a protokolování úplně zakázat, což výrazně ztíží forenzní analýzu.
Pravidelné snahy o mazání protokolů dále snižují viditelnost jejich činností. Salt Typhoon byl pozorován při odstraňování kritických protokolů, včetně .bash_history, auth.log, lastlog, wtmp a btmp, aby zakryl stopy a zajistil, že jejich operace zůstanou po dlouhou dobu nezjištěny.
Pokračující využívání zařízení Cisco
Kromě aktivit společnosti Salt Typhoon společnost Cisco také zjistila rozsáhlé zacílení svých zařízení s odhalenými funkcemi Smart Install (SMI), což vede k pokračujícímu využívání CVE-2018-0171. Společnost Cisco však objasnila, že tato aktivita není spojena se Salt Typhoon a nezdá se, že by byla spojena s žádnou známou skupinou hrozeb.
Jak se mohou organizace bránit těmto útokům
Vzhledem k trvalé povaze operací Salt Typhoon musí organizace – zejména ty v telekomunikačním sektoru – podniknout proaktivní kroky k zabezpečení svých sítí. Mezi doporučená obranná opatření patří:
- Deaktivace Smart Install (SMI): Pokud není vyžadováno, SMI by mělo být vypnuto, aby se snížilo riziko zneužití.
- Vynucení vícefaktorové autentizace (MFA): Ukradené přihlašovací údaje jsou méně účinné, pokud je pro ověření vyžadováno MFA.
Úspěšná infiltrace společnosti Salt Typhoon do amerických telekomunikačních sítí podtrhuje důležitost bdělosti v oblasti kybernetické bezpečnosti. Jejich schopnost zneužít let starou zranitelnost, ukrást přihlašovací údaje a přetrvávat nepozorovaně po dlouhou dobu dokazuje vyvíjející se prostředí hrozeb. Organizace musí upřednostňovat proaktivní obranné strategie, včetně robustní správy oprav, monitorování sítě a přísných kontrol přístupu, aby zmírnily rizika, která představují státem sponzorované kybernetické hrozby.