Cisco vahvistaa, että Salt Typhoon on hyödynnetty CVE-2018-0171 kohdistaakseen Yhdysvaltain televerkkoihin
Cisco on virallisesti vahvistanut, että Kiinan valtion tukema Salt Typhoon -uhkatekijä tunkeutui onnistuneesti Yhdysvaltain televerkkoihin hyödyntämällä tunnettua haavoittuvuutta, CVE-2018-0171. Tämä tietoturvavirhe yhdistettynä varastettujen kirjautumistietojen käyttöön mahdollisti hyökkääjien pitkäaikaisen pääsyn vaarantuneisiin ympäristöihin, ja yksi tapaus kesti yli kolme vuotta.
Cisco Talosin mukaan Salt Typhoonin toiminnot osoittavat korkeatasoista hienostuneisuutta, koordinaatiota ja kärsivällisyyttä, jotka ovat yleisiä edistyneiden pysyvien uhkaryhmien (APT) ryhmiä. Kampanja korostaa jatkuvia riskejä, joita aiheuttavat kansallisvaltioiden toimijat, jotka soluttautuvat strategisesti kriittiseen infrastruktuuriin luodakseen syviä ja pysyviä jalansijaa.
Sisällysluettelo
Pitkäaikainen, hyvin koordinoitu kybervakoilukampanja
Salt Typhoonin kyky pysyä havaitsemattomana vuosia korostaa ryhmän kehittynyttä taktiikkaa. Niiden pysyvyys useiden valmistajien laitteissa viittaa huolelliseen suunnitteluun ja hyvin rahoitettuun toimintaan. Toisin kuin opportunistiset kyberrikolliset, jotka hyödyntävät haavoittuvuuksia välittömän hyödyn saamiseksi, valtion tukemat toimijat, kuten Salt Typhoon, pyrkivät usein jatkuvaan pääsyyn, jolloin he voivat kerätä tiedustelutietoja, häiritä toimintaa tai valmistautua tuleviin kyberhyökkäuksiin.
Vaikka aikaisemmat raportit ehdottivat, että Salt Typhoon hyödynsi myös uudempia haavoittuvuuksia, kuten CVE-2023-20198 ja CVE-2023-20273, Cisco ei ole löytänyt todisteita näiden väitteiden tueksi. Sen sijaan ensisijainen hyväksikäyttötapa on edelleen CVE-2018-0171, Ciscon Smart Install (SMI) -protokollan virhe yhdistettynä tunnistetietojen varkauksiin.
Varastetut tunnistetiedot: avain ensimmäiseen käyttöön
Tämän kampanjan olennainen osa on kelvollisten, varastettujen tunnistetietojen käyttö verkkolaitteiden pääsyssä. Vaikka Salt Typhoonin tarkka menetelmä näiden valtuustietojen hankkimiseen on edelleen epäselvä, todisteet viittaavat siihen, että he etsivät aktiivisesti tallennettuja kirjautumistietoja vaarantuneista järjestelmistä. He myös seurasivat verkkoliikennettä todennustietojen kaappaamiseksi, erityisesti SNMP-, TACACS- ja RADIUS-protokollien avulla salaisten avainten ja muiden kirjautumistietojen poimimiseksi.
Verkon sisällä Salt Typhoon käytti erilaisia tekniikoita laajentaakseen ulottuvuuttaan ja varmistaakseen pitkäaikaisen pääsyn. Näitä olivat verkkolaitteiden asetusten muuttaminen, luvattomien paikallisten tilien luominen, Guest Shell -käytön salliminen ja jatkuvan SSH-käytön määrittäminen.
Living off-the-Land -tekniikat ja verkoston kääntyminen
Salt Typhoon hyödynsi LOTL-tekniikoita, joihin liittyy laillisten järjestelmätyökalujen ja infrastruktuurin väärinkäyttö havaitsemisen välttämiseksi. Käyttämällä vaarantuneita verkkolaitteita kääntöpisteinä ne pystyivät hyppäämään tietoliikenneverkosta toiseen pysyen piilossa. Nämä vaarantuneet laitteet toimivat todennäköisesti välireleinä, jotka auttoivat hyökkääjiä joko siirtymään sivusuunnassa kohti lopullisia kohteitaan tai luomaan lähtevän tiedon suodatusreittejä.
Välttääkseen havaitsemisen edelleen Salt Typhoon manipuloi verkkomäärityksiä muuttamalla takaisinkytkentäosoitteita vaarantuneissa kytkimissä. Tämän ansiosta he pystyivät muodostamaan SSH-yhteyksiä, jotka ohittivat pääsynhallintaluettelot (ACL:t) ja sallivat rajoittamattoman liikkumisen kohdeympäristössä.
JumbledPath: Mukautettu työkalu salaisiin operaatioihin
Yksi huolestuttavimmista löydöistä on Salt Typhoonin käyttö räätälöidyllä JumbledPath-työkalulla, joka on erityisesti suunniteltu salakavalaan verkkotunkeutumiseen. Tämän Go-pohjaisen ELF-binaarin avulla hyökkääjät voivat suorittaa pakettikaappauksia Ciscon etälaitteissa näyttelijän ohjaaman hyppyisäntälaitteen kautta. Työkalu voi myös tyhjentää järjestelmän lokit ja estää kirjaamisen kokonaan, mikä vaikeuttaa merkittävästi rikosteknistä analysointia.
Säännölliset lokien poistoyritykset vähentävät entisestään heidän toimintojensa näkyvyyttä. Salt Typhoon havaittiin poistavan kriittisiä lokeja, mukaan lukien .bash_history, auth.log, lastlog, wtmp ja btmp peittääkseen jälkensä ja varmistaakseen, että niiden toiminta pysyy havaitsematta pitkiä aikoja.
Cisco-laitteiden jatkuva hyödyntäminen
Salt Typhoonin toimintojen lisäksi Cisco on myös havainnut laajalle levinneen kohdistamisen laitteisiinsa, joissa on näkyvissä olevia Smart Install (SMI) -ominaisuuksia, mikä on johtanut CVE-2018-0171:n jatkuvaan hyödyntämiseen. Cisco kuitenkin selvensi, että tämä toiminta ei liity Salt Typhooniin eikä näytä liittyvän mihinkään tunnettuun uhkaryhmään.
Miten organisaatiot voivat puolustautua näitä hyökkäyksiä vastaan
Salt Typhoonin toiminnan jatkuvan luonteen vuoksi organisaatioiden – erityisesti tietoliikennesektorin – on ryhdyttävä ennakoiviin toimiin verkkojensa turvaamiseksi. Suositeltuja suojatoimenpiteitä ovat:
- Älykkään asennuksen (SMI) poistaminen käytöstä: Jos sitä ei vaadita, SMI tulee kytkeä pois päältä hyväksikäyttöriskin vähentämiseksi.
- Multi-Factor Authentication (MFA) -todennuksen pakottaminen: Varastettujen tunnistetietojen tehokkuus on heikompi, jos MFA vaaditaan todentamiseen.
Salt Typhoonin onnistunut soluttautuminen Yhdysvaltain televerkkoihin korostaa valppauden merkitystä kyberturvallisuudessa. Heidän kykynsä hyödyntää vuosia vanhaa haavoittuvuutta, varastaa tunnistetietoja ja pysyä havaitsematta pitkiä aikoja osoittaa kehittyvän uhkamaiseman. Organisaatioiden on asetettava etusijalle ennakoivat puolustusstrategiat, mukaan lukien vankka korjaustiedostojen hallinta, verkon valvonta ja tiukka pääsynvalvonta, jotta voidaan vähentää valtion tukemien kyberuhkien aiheuttamia riskejä.