Cisco potvrđuje da je slani tajfun iskorišten CVE-2018-0171 za ciljanje američkih telekomunikacijskih mreža
Cisco je službeno potvrdio da se kineska država sponzorirana prijetnja poznata kao Salt Typhoon uspješno infiltrirala u američke telekomunikacijske mreže iskorištavanjem poznate ranjivosti, CVE-2018-0171. Ovaj sigurnosni propust, u kombinaciji s korištenjem ukradenih vjerodajnica za prijavu, omogućio je napadačima dugoročni pristup ugroženim okruženjima, s jednim slučajem koji je trajao više od tri godine.
Prema Cisco Talosu, operacije Salt Typhoona pokazuju visoku razinu sofisticiranosti, koordinacije i strpljenja – zajedničke osobine skupina naprednih trajnih prijetnji (APT). Kampanja naglašava stalne rizike koje nose akteri nacionalne države koji se strateški infiltriraju u kritičnu infrastrukturu kako bi uspostavili duboka i postojana uporišta.
Sadržaj
Dugoročna, visoko koordinirana kampanja cyber špijunaže
Sposobnost Salt Typhoona da godinama ostane neotkriven naglašava naprednu taktiku skupine. Njihova upornost na opremi više dobavljača sugerira precizno planiranje i dobro financiranu operaciju. Za razliku od oportunističkih kibernetičkih kriminalaca koji iskorištavaju ranjivosti za trenutnu dobit, akteri koje sponzorira država poput Salt Typhoona često ciljaju na trajni pristup, što im omogućuje prikupljanje obavještajnih podataka, ometanje operacija ili pripremu za buduće kibernetičke napade.
Dok su prethodna izvješća sugerirala da je Salt Typhoon također iskoristio novije ranjivosti, kao što su CVE-2023-20198 i CVE-2023-20273, Cisco nije pronašao dokaze koji podupiru te tvrdnje. Umjesto toga, primarna metoda iskorištavanja ostaje CVE-2018-0171, greška u Ciscovom protokolu Smart Install (SMI), u kombinaciji s krađom vjerodajnica.
Ukradene vjerodajnice: ključ za početni pristup
Bitan aspekt ove kampanje je korištenje valjanih, ukradenih vjerodajnica za dobivanje pristupa mrežnim uređajima. Iako je točna metoda koju je Salt Typhoon koristio za dobivanje ovih vjerodajnica još uvijek nejasna, dokazi sugeriraju da su aktivno tražili pohranjene podatke za prijavu unutar kompromitiranih sustava. Također su pratili mrežni promet kako bi uhvatili podatke za autentifikaciju, posebno ciljajući SNMP, TACACS i RADIUS protokole za izdvajanje tajnih ključeva i drugih vjerodajnica za prijavu.
Nakon što su ušli u mrežu, Salt Typhoon koristio je različite tehnike kako bi proširio svoj doseg i osigurao produljeni pristup. To uključuje izmjenu konfiguracije mrežnih uređaja, stvaranje neovlaštenih lokalnih računa, omogućavanje pristupa ljusci za goste i postavljanje trajnog SSH pristupa.
Tehnike života izvan zemlje i usmjeravanje mreže
Salt Typhoon je iskoristio tehnike življenja izvan zemlje (LOTL), koje uključuju zlouporabu legitimnih sistemskih alata i infrastrukture kako bi se izbjeglo otkrivanje. Korištenjem kompromitiranih mrežnih uređaja kao središnjih točaka, mogli su skočiti s jedne telekomunikacijske mreže na drugu, a da pritom ostanu skriveni. Ovi kompromitirani uređaji vjerojatno su služili kao međureleji, pomažući napadačima da se pomaknu bočno prema svojim krajnjim ciljevima ili uspostave izlazne rute za eksfiltraciju podataka.
Kako bi dodatno izbjegao otkrivanje, Salt Typhoon je manipulirao mrežnim konfiguracijama mijenjajući adrese sučelja povratne petlje na kompromitiranim preklopnicima. To im je omogućilo uspostavljanje SSH veza koje su zaobišle popise kontrole pristupa (ACL-ove), dopuštajući neograničeno kretanje unutar ciljnog okruženja.
JumbledPath: prilagođeni alat za skrivene operacije
Jedno od najzabrinjavajućih otkrića je korištenje posebno izrađenog alata pod nazivom JumbledPath od strane Salt Typhoona, koji je posebno dizajniran za skrivenu mrežnu infiltraciju. Ova ELF binarna datoteka temeljena na Go-u omogućuje napadačima da izvrše hvatanje paketa na udaljenim Cisco uređajima putem skok hosta kojim upravlja glumac. Alat također može obrisati zapisnike sustava i potpuno onemogućiti bilježenje, čineći forenzičku analizu znatno težom.
Povremeni napori za brisanje dnevnika dodatno smanjuju vidljivost njihovih aktivnosti. Uočeno je da Salt Typhoon briše kritične zapisnike, uključujući .bash_history, auth.log, lastlog, wtmp i btmp, kako bi prikrio svoje tragove i osigurao da njihove operacije ostanu neotkrivene dulja razdoblja.
Kontinuirana eksploatacija Cisco uređaja
Osim aktivnosti Salt Typhoona, Cisco je također otkrio rašireno ciljanje svojih uređaja s izloženim značajkama Smart Install (SMI), što je dovelo do kontinuiranog iskorištavanja CVE-2018-0171. Međutim, Cisco je pojasnio da ova aktivnost nije povezana sa Salt Typhoonom i ne čini se da je povezana s bilo kojom poznatom skupinom prijetnji.
Kako se organizacije mogu obraniti od ovih napada
S obzirom na upornu prirodu operacija Salt Typhoon-a, organizacije – posebno one u sektoru telekomunikacija – moraju poduzeti proaktivne korake kako bi osigurale svoje mreže. Preporučene obrambene mjere uključuju:
- Onemogućavanje pametne instalacije (SMI): ako nije potrebno, SMI treba isključiti kako bi se smanjio rizik od iskorištavanja.
- Provođenje provjere autentičnosti s više faktora (MFA): ukradene vjerodajnice su manje učinkovite ako je MFA potrebna za provjeru autentičnosti.
Uspješna infiltracija Salt Typhoona u američke telekomunikacijske mreže naglašava važnost opreza u kibernetičkoj sigurnosti. Njihova sposobnost da iskoriste godinama staru ranjivost, ukradu vjerodajnice i ostanu neotkriveni dulja razdoblja pokazuje razvoj prijetnji. Organizacije moraju dati prioritet proaktivnim obrambenim strategijama, uključujući robusno upravljanje zakrpama, nadzor mreže i stroge kontrole pristupa, kako bi ublažile rizike koje predstavljaju kibernetičke prijetnje koje sponzorira država.