Cisco conferma che Salt Typhoon ha sfruttato CVE-2018-0171 per colpire le reti di telecomunicazioni statunitensi

Entro Mura nel Sicurezza informatica

Traduci in:

Cisco ha confermato ufficialmente che l'attore di minacce sponsorizzato dallo stato cinese noto come Salt Typhoon si è infiltrato con successo nelle reti di telecomunicazioni statunitensi sfruttando una vulnerabilità nota, CVE-2018-0171. Questa falla di sicurezza, combinata con l'uso di credenziali di accesso rubate, ha consentito agli aggressori di mantenere l'accesso a lungo termine ad ambienti compromessi, con un'istanza durata più di tre anni.

Secondo Cisco Talos, le operazioni di Salt Typhoon mostrano un alto livello di sofisticatezza, coordinamento e pazienza, tratti comuni dei gruppi APT (Advanced Persistent Threat). La campagna sottolinea i rischi in corso posti dagli attori degli stati nazionali che si infiltrano strategicamente nelle infrastrutture critiche per stabilire punti d'appoggio profondi e persistenti.

Sommario

Una campagna di spionaggio informatico a lungo termine e altamente coordinata

La capacità di Salt Typhoon di rimanere inosservato per anni evidenzia le tattiche avanzate del gruppo. La loro persistenza su più apparecchiature di fornitori suggerisce una pianificazione meticolosa e un'operazione ben finanziata. A differenza dei criminali informatici opportunisti che sfruttano le vulnerabilità per un guadagno immediato, gli attori sponsorizzati dallo stato come Salt Typhoon spesso mirano a un accesso sostenuto, che consente loro di raccogliere informazioni, interrompere le operazioni o prepararsi per futuri attacchi informatici.

Mentre precedenti report suggerivano che Salt Typhoon sfruttasse anche vulnerabilità più recenti, come CVE-2023-20198 e CVE-2023-20273, Cisco non ha trovato prove a sostegno di queste affermazioni. Invece, il metodo principale di sfruttamento rimane CVE-2018-0171, una falla nel protocollo Smart Install (SMI) di Cisco, combinata con il furto di credenziali.

Credenziali rubate: la chiave per l'accesso iniziale

Un aspetto essenziale di questa campagna è l'uso di credenziali valide e rubate per ottenere l'accesso ai dispositivi di rete. Mentre il metodo esatto utilizzato da Salt Typhoon per ottenere queste credenziali non è ancora chiaro, le prove suggeriscono che hanno cercato attivamente i dettagli di accesso memorizzati nei sistemi compromessi. Hanno anche monitorato il traffico di rete per catturare i dati di autenticazione, prendendo di mira specificamente i protocolli SNMP, TACACS e RADIUS per estrarre chiavi segrete e altre credenziali di accesso.

Una volta all'interno di una rete, Salt Typhoon ha impiegato varie tecniche per espandere la propria portata e garantire un accesso prolungato. Tra queste, la modifica delle configurazioni dei dispositivi di rete, la creazione di account locali non autorizzati, l'abilitazione dell'accesso Guest Shell e l'impostazione di un accesso SSH persistente.

Tecniche di vita fuori dalla terra e pivoting di rete

Salt Typhoon ha sfruttato tecniche di living-off-the-land (LOTL), che comportano l'abuso di strumenti di sistema e infrastrutture legittimi per evitare di essere rilevati. Utilizzando dispositivi di rete compromessi come punti di snodo, sono stati in grado di passare da una rete di telecomunicazioni all'altra rimanendo nascosti. Questi dispositivi compromessi hanno probabilmente svolto la funzione di relè intermedi, aiutando gli aggressori a muoversi lateralmente verso i loro obiettivi finali o a stabilire percorsi di esfiltrazione dei dati in uscita.

Per eludere ulteriormente il rilevamento, Salt Typhoon ha manipolato le configurazioni di rete alterando gli indirizzi dell'interfaccia loopback sugli switch compromessi. Ciò ha consentito loro di stabilire connessioni SSH che hanno bypassato le liste di controllo degli accessi (ACL), garantendo un movimento senza restrizioni all'interno dell'ambiente di destinazione.

JumbledPath: uno strumento personalizzato per operazioni furtive

Una delle scoperte più preoccupanti è l'uso da parte di Salt Typhoon di uno strumento personalizzato denominato JumbledPath, specificamente progettato per l'infiltrazione furtiva in rete. Questo binario ELF basato su Go consente agli aggressori di eseguire acquisizioni di pacchetti su dispositivi Cisco remoti tramite un jump host controllato dall'attore. Lo strumento può anche cancellare i log di sistema e disabilitare del tutto la registrazione, rendendo l'analisi forense significativamente più difficile.

Gli sforzi periodici di cancellazione dei log riducono ulteriormente la visibilità delle loro attività. Salt Typhoon è stato osservato mentre cancellava log critici, tra cui .bash_history, auth.log, lastlog, wtmp e btmp, per coprire le proprie tracce e garantire che le proprie operazioni rimanessero inosservate per lunghi periodi.

Sfruttamento continuo dei dispositivi Cisco

Oltre alle attività di Salt Typhoon, Cisco ha anche rilevato un diffuso targeting dei suoi dispositivi con funzionalità Smart Install (SMI) esposte, che ha portato allo sfruttamento continuo di CVE-2018-0171. Tuttavia, Cisco ha chiarito che questa attività non è collegata a Salt Typhoon e non sembra essere associata ad alcun gruppo di minacce noto.

Come le organizzazioni possono difendersi da questi attacchi

Data la natura persistente delle operazioni di Salt Typhoon, le organizzazioni, in particolare quelle nel settore delle telecomunicazioni, devono adottare misure proattive per proteggere le proprie reti. Le misure difensive consigliate includono:

Disattivazione di Smart Install (SMI): se non necessario, è opportuno disattivare SMI per ridurre il rischio di sfruttamento.
Applicazione dell'autenticazione a più fattori (MFA): le credenziali rubate sono meno efficaci se per l'autenticazione è richiesta l'MFA.

Aggiornamento regolare del firmware e applicazione di patch alle vulnerabilità: la vulnerabilità CVE-2018-0171 è nota da anni, ma gli aggressori continuano a sfruttarla a causa dei sistemi non aggiornati.

Monitoraggio del traffico di rete per rilevare anomalie: le organizzazioni devono monitorare attentamente le richieste di autenticazione, le attività SSH insolite e le modifiche impreviste alla configurazione.

Implementazione di rigide politiche di controllo degli accessi: limitare l'accesso alle infrastrutture critiche può limitare la capacità di un aggressore di muoversi lateralmente all'interno della rete.

L'infiltrazione riuscita di Salt Typhoon nelle reti di telecomunicazioni statunitensi sottolinea l'importanza della vigilanza nella sicurezza informatica. La loro capacità di sfruttare una vulnerabilità vecchia di anni, rubare credenziali e persistere inosservati per lunghi periodi dimostra l'evoluzione del panorama delle minacce. Le organizzazioni devono dare priorità a strategie di difesa proattive, tra cui una solida gestione delle patch, il monitoraggio della rete e rigidi controlli di accesso, per mitigare i rischi posti dalle minacce informatiche sponsorizzate dallo stato.

La dichiarazione di fallimento del processore di pagamento di EnigmaSoft Digital River GmbH non influisce sulla protezione anti-malware dei clienti di SpyHunter

Ricerca

Cambia regione