Cisco kinnitab, et Salt Typhoon kasutab USA telekommunikatsioonivõrke sihiks CVE-2018-0171
Cisco on ametlikult kinnitanud, et Hiina riiklikult toetatud ohustaja, tuntud kui Salt Typhoon, tungis edukalt USA telekommunikatsioonivõrkudesse, kasutades ära tuntud haavatavust CVE-2018-0171. See turvaviga koos varastatud sisselogimismandaatide kasutamisega võimaldas ründajatel säilitada pikaajalise juurdepääsu ohustatud keskkondadele, kusjuures üks eksemplar kestis üle kolme aasta.
Cisco Talose sõnul on Salt Typhooni toimingud kõrge keerukuse, koordineerimise ja kannatlikkuse tasemega – arenenud püsivate ohtude (APT) rühmade ühised tunnused. Kampaania rõhutab jätkuvaid riske, mida kujutavad endast rahvusriikide osalejad, kes tungivad strateegiliselt kriitilisse infrastruktuuri, et luua sügavaid ja püsivaid tugipunkte.
Sisukord
Pikaajaline, hästi koordineeritud küberspionaažikampaania
Salt Typhooni võime jääda aastaid avastamata rõhutab grupi arenenud taktikat. Nende püsivus mitme müüja seadmete vahel viitab põhjalikule planeerimisele ja hästi rahastatud tegevusele. Erinevalt oportunistlikest küberkurjategijatest, kes kasutavad turvaauke kohese kasu saamiseks, püüavad riiklikult toetatud osalejad, nagu Salt Typhoon, sageli pidevat juurdepääsu, võimaldades neil koguda luureandmeid, segada operatsioone või valmistuda tulevasteks küberrünnakuteks.
Kui varasemates aruannetes väideti, et Salt Typhoon kasutas ka uuemaid turvaauke, nagu CVE-2023-20198 ja CVE-2023-20273, ei ole Cisco leidnud ühtegi tõendit nende väidete toetuseks. Selle asemel jääb esmaseks kasutusmeetodiks CVE-2018-0171, mis on Cisco Smart Installi (SMI) protokolli viga koos mandaadivargusega.
Varastatud volikirjad: esmase juurdepääsu võti
Selle kampaania oluline aspekt on kehtivate varastatud mandaatide kasutamine võrguseadmetele juurdepääsu saamiseks. Kuigi täpne meetod, mida Salt Typhoon nende mandaatide saamiseks kasutas, on endiselt ebaselge, näitavad tõendid, et nad otsisid aktiivselt salvestatud sisselogimisandmeid ohustatud süsteemides. Nad jälgisid ka võrguliiklust autentimisandmete kogumiseks, sihtides salajaste võtmete ja muude sisselogimismandaatide eraldamiseks SNMP-, TACACS- ja RADIUS-protokolle.
Võrku sattudes kasutas Salt Typhoon oma haarde laiendamiseks ja pikaajalise juurdepääsu tagamiseks erinevaid tehnikaid. Nende hulka kuulusid võrguseadmete konfiguratsioonide muutmine, volitamata kohalike kontode loomine, Guest Shelli juurdepääsu lubamine ja püsiva SSH-juurdepääsu seadistamine.
Maast eemal elamise tehnikad ja võrgu pööramine
Salt Typhoon kasutas maavälise elamise (LOTL) tehnikaid, mis hõlmavad seaduslike süsteemitööriistade ja infrastruktuuri kuritarvitamist, et vältida tuvastamist. Kasutades ohustatud võrguseadmeid pöördepunktidena, suutsid nad hüpata ühest telekommunikatsioonivõrgust teise, jäädes samas peidetuks. Need ohustatud seadmed toimisid tõenäoliselt vahereleedena, aidates ründajatel liikuda külgsuunas lõplike sihtmärkide poole või luua väljaminevate andmete väljafiltreerimise marsruute.
Tuvastamisest veelgi kõrvalehoidmiseks manipuleeris Salt Typhoon võrgukonfiguratsioonidega, muutes kahjustatud lülitite tagasisilmusliidese aadresse. See võimaldas neil luua SSH-ühendusi, mis möödusid juurdepääsukontrolli loenditest (ACL), võimaldades sihtkeskkonnas piiramatut liikumist.
JumbledPath: kohandatud tööriist varjatud toimingute jaoks
Üks murettekitavamaid avastusi on see, et Salt Typhoon kasutab spetsiaalselt loodud tööriista nimega JumbledPath, mis on spetsiaalselt loodud salajaseks võrku tungimiseks. See Go-põhine ELF-i kahendfail võimaldab ründajatel sooritada Cisco kaugseadmetes pakettide hõivamist näitleja juhitava hüppehosti kaudu. Samuti saab tööriist kustutada süsteemi logisid ja logimise üldse keelata, muutes kohtuekspertiisi analüüsi oluliselt keerulisemaks.
Perioodilised logide kustutamise jõupingutused vähendavad veelgi nende tegevuste nähtavust. Täheldati, et Salt Typhoon kustutas kriitilised logid, sealhulgas .bash_history, auth.log, lastlog, wtmp ja btmp, et katta nende jälgi ja tagada, et nende toiminguid ei avastataks pikema aja jooksul.
Cisco seadmete pidev kasutamine
Lisaks Salt Typhooni tegevustele on Cisco tuvastanud ka oma seadmete laialdase sihtimise avatud nutika installi (SMI) funktsioonidega, mis on viinud CVE-2018-0171 jätkuva kasutamiseni. Cisco aga täpsustas, et see tegevus ei ole seotud Salt Typhooniga ega paista olevat seotud ühegi teadaoleva ohurühmaga.
Kuidas organisatsioonid saavad nende rünnakute eest kaitsta
Arvestades Salt Typhooni tegevuse püsivat olemust, peavad organisatsioonid, eriti telekommunikatsioonisektoris tegutsevad organisatsioonid, astuma ennetavaid samme oma võrkude kaitsmiseks. Soovitatavad kaitsemeetmed hõlmavad järgmist:
- Nutika installi (SMI) keelamine: kui seda ei nõuta, tuleks SMI ärakasutamise ohu vähendamiseks välja lülitada.
- Multi-Factor Authentication (MFA) jõustamine: varastatud mandaadid on vähem tõhusad, kui autentimiseks on vaja MFA-d.
Salt Typhooni edukas tungimine USA telekommunikatsioonivõrkudesse rõhutab valvsuse tähtsust küberturvalisuses. Nende võime kasutada ära aastatepikkust haavatavust, varastada mandaate ja püsida pikka aega avastamatult, näitab arenevat ohumaastikku. Organisatsioonid peavad eelistama ennetavaid kaitsestrateegiaid, sealhulgas tugevat paigahaldust, võrgu jälgimist ja ranget juurdepääsukontrolli, et maandada riigi toetatud küberohtudest tulenevaid riske.