Η Cisco επιβεβαιώνει ότι το Salt Typhoon Exploited CVE-2018-0171 για να στοχεύσει τα δίκτυα τηλεπικοινωνιών των ΗΠΑ

Μέχρι το Mura το Ασφάλεια Υπολογιστών

Μετάφραση σε:

Η Cisco επιβεβαίωσε επίσημα ότι ο κινεζικός κρατικός παράγοντας απειλών, γνωστός ως Salt Typhoon, διείσδυσε με επιτυχία στα δίκτυα τηλεπικοινωνιών των ΗΠΑ εκμεταλλευόμενος μια γνωστή ευπάθεια, το CVE-2018-0171. Αυτό το ελάττωμα ασφαλείας, σε συνδυασμό με τη χρήση κλεμμένων διαπιστευτηρίων σύνδεσης, επέτρεψε στους εισβολείς να διατηρήσουν μακροπρόθεσμη πρόσβαση σε παραβιασμένα περιβάλλοντα, με ένα παράδειγμα να διαρκεί περισσότερο από τρία χρόνια.

Σύμφωνα με τον Cisco Talos, οι επιχειρήσεις του Salt Typhoon επιδεικνύουν υψηλό επίπεδο πολυπλοκότητας, συντονισμού και υπομονής - κοινά χαρακτηριστικά των ομάδων προηγμένων επίμονων απειλών (APT). Η εκστρατεία υπογραμμίζει τους συνεχείς κινδύνους που θέτουν οι παράγοντες των εθνικών κρατών που διεισδύουν στρατηγικά σε κρίσιμες υποδομές για να δημιουργήσουν βαθιά και επίμονα ερείσματα.

Πίνακας περιεχομένων

Μια μακροπρόθεσμη, άκρως συντονισμένη εκστρατεία κυβερνοκατασκοπείας

Η ικανότητα του Salt Typhoon να παραμένει απαρατήρητος για χρόνια υπογραμμίζει τις προηγμένες τακτικές της ομάδας. Η επιμονή τους σε εξοπλισμό πολλαπλών πωλητών υποδηλώνει σχολαστικό σχεδιασμό και μια καλά χρηματοδοτούμενη λειτουργία. Σε αντίθεση με τους ευκαιριακούς εγκληματίες του κυβερνοχώρου που εκμεταλλεύονται τα τρωτά σημεία για άμεσο κέρδος, οι κρατικοί φορείς όπως ο Salt Typhoon συχνά στοχεύουν σε διαρκή πρόσβαση, επιτρέποντάς τους να συλλέγουν πληροφορίες, να διακόπτουν τις επιχειρήσεις ή να προετοιμάζονται για μελλοντικές επιθέσεις στον κυβερνοχώρο.

Ενώ προηγούμενες αναφορές υποδείκνυαν ότι το Salt Typhoon χρησιμοποίησε επίσης νεότερα τρωτά σημεία, όπως το CVE-2023-20198 και το CVE-2023-20273, η Cisco δεν βρήκε στοιχεία που να υποστηρίζουν αυτούς τους ισχυρισμούς. Αντίθετα, η κύρια μέθοδος εκμετάλλευσης παραμένει το CVE-2018-0171, ένα ελάττωμα στο πρωτόκολλο Smart Install (SMI) της Cisco, σε συνδυασμό με κλοπή διαπιστευτηρίων.

Κλεμμένα διαπιστευτήρια: Το κλειδί για την αρχική πρόσβαση

Μια ουσιαστική πτυχή αυτής της καμπάνιας είναι η χρήση έγκυρων, κλεμμένων διαπιστευτηρίων για να αποκτήσετε πρόσβαση σε συσκευές δικτύου. Ενώ η ακριβής μέθοδος που χρησιμοποίησε το Salt Typhoon για την απόκτηση αυτών των διαπιστευτηρίων είναι ακόμα ασαφής, τα στοιχεία δείχνουν ότι έψαξαν ενεργά για αποθηκευμένα στοιχεία σύνδεσης σε παραβιασμένα συστήματα. Παρακολούθησαν επίσης την κυκλοφορία δικτύου για να καταγράψουν δεδομένα ελέγχου ταυτότητας, στοχεύοντας συγκεκριμένα πρωτόκολλα SNMP, TACACS και RADIUS για την εξαγωγή μυστικών κλειδιών και άλλων διαπιστευτηρίων σύνδεσης.

Μόλις μπήκε σε ένα δίκτυο, ο Salt Typhoon χρησιμοποίησε διάφορες τεχνικές για να επεκτείνει την εμβέλειά του και να εξασφαλίσει παρατεταμένη πρόσβαση. Αυτά περιελάμβαναν την τροποποίηση διαμορφώσεων συσκευών δικτύου, τη δημιουργία μη εξουσιοδοτημένων τοπικών λογαριασμών, την ενεργοποίηση της πρόσβασης Guest Shell και τη ρύθμιση της μόνιμης πρόσβασης SSH.

Living-off-the-Land Techniques και Network Pivoting

Το Salt Typhoon χρησιμοποίησε τεχνικές διαβίωσης εκτός της γης (LOTL), οι οποίες περιλαμβάνουν κατάχρηση νόμιμων εργαλείων και υποδομών συστήματος για την αποφυγή εντοπισμού. Χρησιμοποιώντας παραβιασμένες συσκευές δικτύου ως σημεία περιστροφής, μπόρεσαν να μεταπηδήσουν από το ένα δίκτυο τηλεπικοινωνιών στο άλλο, ενώ παρέμεναν κρυφά. Αυτές οι παραβιασμένες συσκευές πιθανότατα χρησίμευαν ως ενδιάμεσοι αναμεταδότες, βοηθώντας τους επιτιθέμενους είτε να κινηθούν πλευρικά προς τους τελικούς στόχους τους είτε να δημιουργήσουν διαδρομές εξαγωγής δεδομένων.

Για να αποφύγει περαιτέρω την ανίχνευση, το Salt Typhoon χειρίστηκε τις διαμορφώσεις δικτύου αλλάζοντας τις διευθύνσεις διεπαφής loopback σε παραβιασμένους διακόπτες. Αυτό τους επέτρεψε να δημιουργήσουν συνδέσεις SSH που παρέκαμψαν τις λίστες ελέγχου πρόσβασης (ACL), παρέχοντας απεριόριστη κίνηση εντός του περιβάλλοντος στόχου.

JumbledPath: Ένα προσαρμοσμένο εργαλείο για κρυφές λειτουργίες

Μία από τις πιο ανησυχητικές ανακαλύψεις είναι η χρήση του Salt Typhoon ενός προσαρμοσμένου εργαλείου που ονομάζεται JumbledPath, το οποίο έχει σχεδιαστεί ειδικά για μυστική διείσδυση στο δίκτυο. Αυτό το δυαδικό ELF που βασίζεται στο Go επιτρέπει στους εισβολείς να εκτελούν συλλήψεις πακέτων σε απομακρυσμένες συσκευές Cisco μέσω ενός κεντρικού υπολογιστή jump ελεγχόμενου από ηθοποιούς. Το εργαλείο μπορεί επίσης να διαγράψει τα αρχεία καταγραφής του συστήματος και να απενεργοποιήσει εντελώς την καταγραφή, καθιστώντας την εγκληματολογική ανάλυση σημαντικά πιο δύσκολη.

Οι περιοδικές προσπάθειες διαγραφής αρχείων καταγραφής μειώνουν περαιτέρω την ορατότητα των δραστηριοτήτων τους. Παρατηρήθηκε ο Salt Typhoon να διαγράφει κρίσιμα αρχεία καταγραφής, συμπεριλαμβανομένων των .bash_history, auth.log, lastlog, wtmp και btmp, για να καλύψει τα ίχνη τους και να διασφαλίσει ότι οι λειτουργίες τους θα παραμείνουν απαρατήρητες για μεγάλες περιόδους.

Συνεχής εκμετάλλευση των συσκευών Cisco

Πέρα από τις δραστηριότητες της Salt Typhoon, η Cisco έχει επίσης εντοπίσει ευρεία στόχευση των συσκευών της με εκτεθειμένες λειτουργίες Smart Install (SMI), που οδηγεί στη συνεχή εκμετάλλευση του CVE-2018-0171. Ωστόσο, η Cisco διευκρίνισε ότι αυτή η δραστηριότητα δεν συνδέεται με το Salt Typhoon και δεν φαίνεται να σχετίζεται με καμία γνωστή ομάδα απειλής.

Πώς μπορούν οι οργανισμοί να αμυνθούν από αυτές τις επιθέσεις

Δεδομένης της επίμονης φύσης των εργασιών της Salt Typhoon, οι οργανισμοί —ιδιαίτερα εκείνοι στον τομέα των τηλεπικοινωνιών— πρέπει να λάβουν προληπτικά μέτρα για την ασφάλεια των δικτύων τους. Τα προτεινόμενα αμυντικά μέτρα περιλαμβάνουν:

Απενεργοποίηση Smart Install (SMI): Εάν δεν απαιτείται, το SMI θα πρέπει να απενεργοποιηθεί για να μετριαστεί ο κίνδυνος εκμετάλλευσης.
Επιβολή ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA): Τα κλεμμένα διαπιστευτήρια είναι λιγότερο αποτελεσματικά εάν απαιτείται MFA για έλεγχο ταυτότητας.

Τακτική ενημέρωση υλικολογισμικού και ευπάθειες επιδιόρθωσης: Το CVE-2018-0171 είναι γνωστό εδώ και χρόνια, ωστόσο οι εισβολείς συνεχίζουν να το εκμεταλλεύονται λόγω μη επιδιορθωμένων συστημάτων.

Παρακολούθηση επισκεψιμότητας δικτύου για ανωμαλίες: Οι οργανισμοί πρέπει να παρακολουθούν στενά τα αιτήματα ελέγχου ταυτότητας, την ασυνήθιστη δραστηριότητα SSH και τις απροσδόκητες αλλαγές διαμόρφωσης.

Εφαρμογή πολιτικών ισχυρού ελέγχου πρόσβασης: Ο περιορισμός της πρόσβασης σε κρίσιμες υποδομές μπορεί να περιορίσει την ικανότητα του εισβολέα να κινείται πλευρικά εντός του δικτύου.

Η επιτυχής διείσδυση του Salt Typhoon στα δίκτυα τηλεπικοινωνιών των ΗΠΑ υπογραμμίζει τη σημασία της επαγρύπνησης στην ασφάλεια στον κυβερνοχώρο. Η ικανότητά τους να εκμεταλλεύονται μια ευπάθεια εδώ και χρόνια, να κλέβουν διαπιστευτήρια και να παραμένουν απαρατήρητα για μεγάλες περιόδους καταδεικνύει το εξελισσόμενο τοπίο απειλών. Οι οργανισμοί πρέπει να δώσουν προτεραιότητα σε στρατηγικές προληπτικής άμυνας, συμπεριλαμβανομένης της ισχυρής διαχείρισης ενημερώσεων κώδικα, της παρακολούθησης δικτύου και των αυστηρών ελέγχων πρόσβασης, για τον μετριασμό των κινδύνων που ενέχουν οι κρατικές απειλές στον κυβερνοχώρο.

Ο Επεξεργαστής Πληρωμών της EnigmaSoft Digital River GmbH Η υποβολή αίτησης για πτώχευση δεν επηρεάζει την προστασία κατά του κακόβουλου λογισμικού των πελατών του SpyHunter

Αναζήτηση

Αλλαγή Περιοχής