सिस्को ने पुष्टि की है कि साल्ट टाइफून ने CVE-2018-0171 का उपयोग करके अमेरिकी दूरसंचार नेटवर्क को निशाना बनाया है

सिस्को ने आधिकारिक तौर पर पुष्टि की है कि साल्ट टाइफून के नाम से जाना जाने वाला चीनी राज्य प्रायोजित खतरा अभिनेता ने एक ज्ञात भेद्यता, CVE-2018-0171 का फायदा उठाकर सफलतापूर्वक अमेरिकी दूरसंचार नेटवर्क में घुसपैठ की। इस सुरक्षा दोष ने, चोरी किए गए लॉगिन क्रेडेंशियल्स के उपयोग के साथ मिलकर, हमलावरों को समझौता किए गए वातावरण तक लंबे समय तक पहुँच बनाए रखने में सक्षम बनाया, जिसमें एक उदाहरण तीन साल से अधिक समय तक चला।

सिस्को टैलोस के अनुसार, साल्ट टाइफून के संचालन में उच्च स्तर की परिष्कार, समन्वय और धैर्य का प्रदर्शन होता है - जो उन्नत लगातार खतरे (APT) समूहों के सामान्य लक्षण हैं। यह अभियान राष्ट्र-राज्य अभिनेताओं द्वारा उत्पन्न होने वाले निरंतर जोखिमों को रेखांकित करता है जो रणनीतिक रूप से महत्वपूर्ण बुनियादी ढांचे में घुसपैठ करते हैं ताकि गहरी और लगातार पैर जमा सकें।

एक दीर्घकालिक, अत्यधिक समन्वित साइबर जासूसी अभियान

साल्ट टाइफून की वर्षों तक पकड़ में न आने की क्षमता इस समूह की उन्नत रणनीति को उजागर करती है। कई विक्रेताओं के उपकरणों पर उनकी दृढ़ता सावधानीपूर्वक योजना और अच्छी तरह से वित्तपोषित संचालन का संकेत देती है। अवसरवादी साइबर अपराधियों के विपरीत, जो तत्काल लाभ के लिए कमजोरियों का फायदा उठाते हैं, साल्ट टाइफून जैसे राज्य-प्रायोजित अभिनेता अक्सर निरंतर पहुंच का लक्ष्य रखते हैं, जिससे उन्हें खुफिया जानकारी इकट्ठा करने, संचालन को बाधित करने या भविष्य के साइबर हमलों के लिए तैयार होने की अनुमति मिलती है।

जबकि पिछली रिपोर्टों ने सुझाव दिया था कि साल्ट टाइफून ने CVE-2023-20198 और CVE-2023-20273 जैसी नई कमजोरियों का भी लाभ उठाया, सिस्को को इन दावों का समर्थन करने वाला कोई सबूत नहीं मिला है। इसके बजाय, शोषण का प्राथमिक तरीका CVE-2018-0171 बना हुआ है, जो सिस्को के स्मार्ट इंस्टॉल (SMI) प्रोटोकॉल में एक दोष है, जो क्रेडेंशियल चोरी के साथ संयुक्त है।

चोरी हुए क्रेडेंशियल: आरंभिक पहुंच की कुंजी

इस अभियान का एक अनिवार्य पहलू नेटवर्क डिवाइस तक पहुँच प्राप्त करने के लिए वैध, चोरी किए गए क्रेडेंशियल्स का उपयोग करना है। हालाँकि साल्ट टाइफून ने इन क्रेडेंशियल्स को प्राप्त करने के लिए जिस सटीक तरीके का इस्तेमाल किया, वह अभी भी स्पष्ट नहीं है, लेकिन साक्ष्य बताते हैं कि उन्होंने समझौता किए गए सिस्टम के भीतर संग्रहीत लॉगिन विवरणों की सक्रिय रूप से खोज की। उन्होंने प्रमाणीकरण डेटा को कैप्चर करने के लिए नेटवर्क ट्रैफ़िक की भी निगरानी की, विशेष रूप से गुप्त कुंजियों और अन्य लॉगिन क्रेडेंशियल्स को निकालने के लिए SNMP, TACACS और RADIUS प्रोटोकॉल को लक्षित किया।

एक बार नेटवर्क में घुसने के बाद, साल्ट टाइफून ने अपनी पहुंच बढ़ाने और लंबे समय तक पहुंच सुनिश्चित करने के लिए कई तरह की तकनीकों का इस्तेमाल किया। इनमें नेटवर्क डिवाइस कॉन्फ़िगरेशन को संशोधित करना, अनधिकृत स्थानीय खाते बनाना, गेस्ट शेल एक्सेस को सक्षम करना और लगातार SSH एक्सेस सेट करना शामिल था।

ज़मीन से दूर रहने की तकनीक और नेटवर्क पिवोटिंग

साल्ट टाइफून ने लिविंग-ऑफ-द-लैंड (LOTL) तकनीकों का लाभ उठाया, जिसमें पता लगाने से बचने के लिए वैध सिस्टम टूल और इंफ्रास्ट्रक्चर का दुरुपयोग करना शामिल है। समझौता किए गए नेटवर्क डिवाइस को धुरी बिंदुओं के रूप में उपयोग करके, वे छिपे रहते हुए एक दूरसंचार नेटवर्क से दूसरे में कूदने में सक्षम थे। इन समझौता किए गए उपकरणों ने संभवतः मध्यवर्ती रिले के रूप में काम किया, जिससे हमलावरों को या तो अपने अंतिम लक्ष्यों की ओर पार्श्विक रूप से आगे बढ़ने या आउटबाउंड डेटा एक्सफ़िलट्रेशन रूट स्थापित करने में मदद मिली।

पहचान से बचने के लिए, साल्ट टाइफून ने समझौता किए गए स्विच पर लूपबैक इंटरफ़ेस पते को बदलकर नेटवर्क कॉन्फ़िगरेशन में हेरफेर किया। इससे उन्हें एसएसएच कनेक्शन स्थापित करने की अनुमति मिली जो एक्सेस कंट्रोल लिस्ट (एसीएल) को बायपास करता है, जिससे लक्ष्य वातावरण के भीतर अप्रतिबंधित आंदोलन की अनुमति मिलती है।

जम्बल्डपाथ: गुप्त संचालन के लिए एक कस्टम टूल

सबसे चिंताजनक खोजों में से एक है साल्ट टाइफून द्वारा जम्बल्डपाथ नामक एक कस्टम-निर्मित टूल का उपयोग, जिसे विशेष रूप से चुपके से नेटवर्क घुसपैठ के लिए डिज़ाइन किया गया है। यह गो-आधारित ELF बाइनरी हमलावरों को एक्टर-नियंत्रित जंप होस्ट के माध्यम से दूरस्थ सिस्को डिवाइस पर पैकेट कैप्चर करने में सक्षम बनाता है। यह टूल सिस्टम लॉग को भी साफ़ कर सकता है और लॉगिंग को पूरी तरह से अक्षम कर सकता है, जिससे फोरेंसिक विश्लेषण काफी मुश्किल हो जाता है।

समय-समय पर लॉग मिटाने के प्रयास उनकी गतिविधियों की दृश्यता को और कम कर देते हैं। साल्ट टाइफून को .bash_history, auth.log, lastlog, wtmp, और btmp सहित महत्वपूर्ण लॉग हटाते हुए देखा गया, ताकि उनके ट्रैक को छिपाया जा सके और यह सुनिश्चित किया जा सके कि उनके संचालन को लंबे समय तक पता न चले।

सिस्को डिवाइसों का निरंतर दोहन

साल्ट टाइफून की गतिविधियों के अलावा, सिस्को ने अपने डिवाइस को स्मार्ट इंस्टॉल (SMI) सुविधाओं के साथ व्यापक रूप से लक्षित करने का भी पता लगाया है, जिससे CVE-2018-0171 का लगातार शोषण हो रहा है। हालांकि, सिस्को ने स्पष्ट किया कि यह गतिविधि साल्ट टाइफून से जुड़ी नहीं है और किसी भी ज्ञात खतरा समूह से जुड़ी हुई नहीं लगती है।

संगठन इन हमलों से कैसे बचाव कर सकते हैं

साल्ट टाइफून के संचालन की निरंतर प्रकृति को देखते हुए, संगठनों को - विशेष रूप से दूरसंचार क्षेत्र में - अपने नेटवर्क को सुरक्षित करने के लिए सक्रिय कदम उठाने चाहिए। अनुशंसित रक्षात्मक उपायों में शामिल हैं:

• स्मार्ट इंस्टॉल (SMI) को अक्षम करना: यदि आवश्यक न हो, तो शोषण के जोखिम को कम करने के लिए SMI को बंद कर देना चाहिए।
• बहु-कारक प्रमाणीकरण (MFA) लागू करना: यदि प्रमाणीकरण के लिए MFA आवश्यक है तो चुराए गए क्रेडेंशियल कम प्रभावी होते हैं।

साल्ट टाइफून द्वारा अमेरिकी दूरसंचार नेटवर्क में सफलतापूर्वक घुसपैठ करना साइबर सुरक्षा में सतर्कता के महत्व को रेखांकित करता है। वर्षों पुरानी कमज़ोरी का फ़ायदा उठाने, क्रेडेंशियल चुराने और लंबे समय तक बिना पकड़े रहने की उनकी क्षमता, उभरते हुए ख़तरे के परिदृश्य को दर्शाती है। संगठनों को राज्य प्रायोजित साइबर खतरों से उत्पन्न जोखिमों को कम करने के लिए मज़बूत पैच प्रबंधन, नेटवर्क निगरानी और सख्त पहुँच नियंत्रण सहित सक्रिय रक्षा रणनीतियों को प्राथमिकता देनी चाहिए।