قیمت چند مجوز تخفیف
امنیت کامپیوتر سیسکو تایید کرد که از سالت تایفون CVE-2018-0171 برای هدف...

سیسکو تایید کرد که از سالت تایفون CVE-2018-0171 برای هدف قرار دادن شبکه های مخابراتی ایالات متحده استفاده شده است.

تا Mura در امنیت کامپیوتر
ترجمه به:
فارسی

سیسکو رسما تایید کرده است که عامل تهدید دولتی چین معروف به Salt Typhoon با سوء استفاده از یک آسیب پذیری شناخته شده CVE-2018-0171 با موفقیت به شبکه های مخابراتی ایالات متحده نفوذ کرده است. این نقص امنیتی، همراه با استفاده از اعتبارنامه‌های ورود به سرقت رفته، مهاجمان را قادر می‌سازد تا دسترسی طولانی‌مدت به محیط‌های در معرض خطر را حفظ کنند، با یک نمونه بیش از سه سال.

طبق گفته سیسکو تالو، عملیات Salt Typhoon سطح بالایی از پیچیدگی، هماهنگی و صبر را نشان می‌دهد - ویژگی‌های مشترک گروه‌های تهدید مداوم پیشرفته (APT). این کمپین بر خطرات مستمر بازیگران دولت-ملت که به طور استراتژیک به زیرساخت‌های حیاتی برای ایجاد پایگاه‌های عمیق و پایدار نفوذ می‌کنند، تأکید می‌کند.

یک کمپین جاسوسی سایبری طولانی مدت و بسیار هماهنگ

توانایی Salt Typhoon برای ناشناخته ماندن برای سال ها، تاکتیک های پیشرفته این گروه را برجسته می کند. تداوم آنها در تجهیزات چند فروشنده نشان از برنامه ریزی دقیق و یک عملیات با بودجه خوب دارد. برخلاف مجرمان فرصت طلب سایبری که از آسیب پذیری ها برای منافع فوری سوء استفاده می کنند، بازیگران تحت حمایت دولت مانند Salt Typhoon اغلب هدفشان دسترسی پایدار است و به آنها اجازه می دهد اطلاعات جمع آوری کنند، عملیات را مختل کنند یا برای حملات سایبری آینده آماده شوند.

در حالی که گزارش‌های قبلی نشان می‌داد که Salt Typhoon از آسیب‌پذیری‌های جدیدتری مانند CVE-2023-20198 و CVE-2023-20273 نیز استفاده کرده است، سیسکو هیچ مدرکی برای حمایت از این ادعاها پیدا نکرده است. در عوض، روش اصلی بهره برداری همچنان CVE-2018-0171 است، نقصی در پروتکل نصب هوشمند (SMI) سیسکو، همراه با سرقت اعتبار.

اعتبار دزدیده شده: کلید دسترسی اولیه

یکی از جنبه های ضروری این کمپین استفاده از اعتبارنامه های معتبر و سرقت شده برای دسترسی به دستگاه های شبکه است. در حالی که روش دقیق Salt Typhoon برای به دست آوردن این اعتبارنامه ها هنوز مشخص نیست، شواهد نشان می دهد که آنها به طور فعال جزئیات ورود ذخیره شده را در سیستم های در معرض خطر جستجو می کردند. آنها همچنین ترافیک شبکه را برای گرفتن داده های احراز هویت، به طور خاص هدف قرار دادن پروتکل های SNMP، TACACS و RADIUS برای استخراج کلیدهای مخفی و سایر اعتبارنامه های ورود، زیر نظر گرفتند.

Salt Typhoon هنگامی که وارد یک شبکه شد، از تکنیک های مختلفی برای گسترش دامنه دسترسی و اطمینان از دسترسی طولانی مدت استفاده کرد. این موارد شامل اصلاح تنظیمات دستگاه شبکه، ایجاد حساب‌های محلی غیرمجاز، فعال کردن دسترسی Guest Shell و راه‌اندازی دسترسی SSH دائمی بود.

تکنیک های زندگی در خارج از زمین و محوریت شبکه

Salt Typhoon از تکنیک‌های زندگی در خارج از زمین (LOTL) استفاده کرد که شامل سوء استفاده از ابزارها و زیرساخت‌های سیستم قانونی برای جلوگیری از شناسایی است. با استفاده از دستگاه‌های شبکه آسیب‌دیده به‌عنوان نقاط محوری، آن‌ها می‌توانستند از یک شبکه مخابراتی به شبکه دیگر بپرند و در عین حال پنهان باقی بمانند. این دستگاه‌های آسیب‌دیده احتمالاً به‌عنوان رله‌های میانی عمل می‌کردند و به مهاجمان کمک می‌کردند یا به سمت اهداف نهایی خود حرکت کنند یا مسیرهای خروج داده‌ها را ایجاد کنند.

برای فرار بیشتر از تشخیص، Salt Typhoon تنظیمات شبکه را با تغییر آدرس‌های رابط حلقه‌ای در سوئیچ‌های آسیب‌دیده دستکاری کرد. این به آن‌ها اجازه داد تا اتصالات SSH را ایجاد کنند که لیست‌های کنترل دسترسی (ACL) را دور می‌زند و امکان حرکت نامحدود در محیط هدف را می‌دهد.

JumbledPath: ابزاری سفارشی برای عملیات مخفیانه

یکی از نگران کننده ترین اکتشافات، استفاده Salt Typhoon از ابزار سفارشی ساخته شده به نام JumbledPath است که به طور خاص برای نفوذ مخفیانه به شبکه طراحی شده است. این باینری ELF مبتنی بر Go، مهاجمان را قادر می‌سازد تا از طریق یک میزبان پرش کنترل‌شده توسط بازیگر، بر روی دستگاه‌های سیسکو از راه دور، عکس‌برداری‌های بسته را اجرا کنند. این ابزار همچنین می‌تواند گزارش‌های سیستم را پاک کند و ورود به سیستم را به طور کلی غیرفعال کند، و تحلیل پزشکی قانونی را به طور قابل توجهی دشوارتر می‌کند.

تلاش‌های دوره‌ای برای پاک کردن گزارش‌ها باعث کاهش دید بیشتر در فعالیت‌های آنها می‌شود. Salt Typhoon مشاهده شد که گزارش‌های حیاتی، از جمله .bash_history، auth.log، lastlog، wtmp، و btmp را حذف می‌کند تا ردیابی‌های آن‌ها را پوشش دهد و اطمینان حاصل کند که عملیات آن‌ها برای مدت‌های طولانی شناسایی نشده است.

بهره برداری مداوم از دستگاه های سیسکو

فراتر از فعالیت‌های Salt Typhoon، سیسکو همچنین هدف‌گیری گسترده دستگاه‌های خود را با ویژگی‌های نصب هوشمند (SMI) شناسایی کرده است که منجر به بهره‌برداری مداوم از CVE-2018-0171 شده است. با این حال، سیسکو تصریح کرد که این فعالیت به Salt Typhoon مرتبط نیست و به نظر نمی رسد با هیچ گروه تهدید شناخته شده ای مرتبط باشد.

چگونه سازمان ها می توانند در برابر این حملات دفاع کنند

با توجه به ماهیت مداوم عملیات Salt Typhoon، سازمان ها - به ویژه آنهایی که در بخش مخابرات هستند - باید اقدامات پیشگیرانه ای برای ایمن سازی شبکه های خود انجام دهند. اقدامات دفاعی توصیه شده عبارتند از:

  • غیرفعال کردن نصب هوشمند (SMI): در صورت عدم نیاز، SMI باید برای کاهش خطر سوء استفاده خاموش شود.
  • اجرای احراز هویت چند عاملی (MFA): اگر MFA برای احراز هویت مورد نیاز باشد، اعتبارنامه های دزدیده شده کمتر موثر هستند.
  • به‌روزرسانی منظم میان‌افزار و آسیب‌پذیری‌های وصله‌شده: CVE-2018-0171 سال‌هاست که شناخته شده است، با این حال مهاجمان به دلیل سیستم‌های وصله‌نشده همچنان از آن سوءاستفاده می‌کنند.
  • نظارت بر ترافیک شبکه برای ناهنجاری ها: سازمان ها باید درخواست های احراز هویت، فعالیت غیرمعمول SSH و تغییرات پیکربندی غیرمنتظره را به دقت نظارت کنند.
  • پیاده‌سازی سیاست‌های کنترل دسترسی قوی: محدود کردن دسترسی به زیرساخت‌های حیاتی می‌تواند توانایی مهاجم را برای حرکت جانبی در شبکه محدود کند.

    • نفوذ موفقیت آمیز Salt Typhoon به شبکه های مخابراتی ایالات متحده بر اهمیت هوشیاری در امنیت سایبری تأکید می کند. توانایی آن‌ها در بهره‌برداری از آسیب‌پذیری سال‌ها، سرقت اعتبار، و عدم شناسایی برای مدت‌های طولانی، چشم‌انداز تهدید در حال تکامل را نشان می‌دهد. سازمان‌ها باید استراتژی‌های دفاعی فعال، از جمله مدیریت وصله‌های قوی، نظارت بر شبکه، و کنترل‌های دسترسی دقیق را برای کاهش خطرات ناشی از تهدیدات سایبری تحت حمایت دولت، در اولویت قرار دهند.

    بارگذاری...