Cisco បញ្ជាក់​ពី​ព្យុះ​ទីហ្វុង​អំបិល CVE-2018-0171 ដើម្បី​កំណត់​គោលដៅ​បណ្តាញ​ទូរគមនាគមន៍​អាមេរិក

Cisco បានបញ្ជាក់ជាផ្លូវការថា តួអង្គគំរាមកំហែងដែលឧបត្ថម្ភដោយរដ្ឋរបស់ចិន ដែលគេស្គាល់ថា Salt Typhoon បានជ្រៀតចូលបណ្តាញទូរគមនាគមន៍របស់សហរដ្ឋអាមេរិកដោយជោគជ័យ ដោយទាញយកភាពងាយរងគ្រោះដែលគេស្គាល់ CVE-2018-0171។ កំហុសសុវត្ថិភាពនេះ រួមផ្សំជាមួយនឹងការប្រើប្រាស់ព័ត៌មានសម្ងាត់នៃការចូលដែលត្រូវបានលួច បានធ្វើឱ្យអ្នកវាយប្រហាររក្សាការចូលប្រើប្រាស់រយៈពេលវែងទៅកាន់បរិស្ថានដែលត្រូវបានសម្របសម្រួល ដោយវត្ថុមួយមានរយៈពេលច្រើនជាងបីឆ្នាំ។

យោងតាម Cisco Talos ប្រតិបត្តិការរបស់ Salt Typhoon បង្ហាញពីកម្រិតខ្ពស់នៃភាពស្មុគ្រស្មាញ ការសម្របសម្រួល និងការអត់ធ្មត់ ដែលជាលក្ខណៈទូទៅនៃក្រុមការគំរាមកំហែងជាប់លាប់កម្រិតខ្ពស់ (APT) ។ យុទ្ធនាការនេះគូសបញ្ជាក់អំពីហានិភ័យដែលកំពុងបន្តបង្កឡើងដោយតួអង្គរដ្ឋដែលមានយុទ្ធសាស្ត្រជ្រៀតចូលហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ ដើម្បីបង្កើតទីតាំងដ៏ស៊ីជម្រៅ និងជាប់លាប់។

យុទ្ធនាការចារកម្មតាមអ៊ីនធឺណិតដែលមានការសម្របសម្រួលខ្ពស់ និងយូរអង្វែង

សមត្ថភាពរបស់ Salt Typhoon ក្នុងការ នៅតែមិនអាចរកឃើញអស់រយៈពេលជាច្រើនឆ្នាំ បង្ហាញពីយុទ្ធសាស្ត្រកម្រិតខ្ពស់របស់ក្រុម។ ការជាប់លាប់របស់ពួកគេលើឧបករណ៍របស់អ្នកលក់ជាច្រើនបង្ហាញឱ្យឃើញពីការរៀបចំផែនការយ៉ាងល្អិតល្អន់ និងប្រតិបត្តិការដែលមានមូលនិធិល្អ។ មិនដូចឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតដែលឆ្លៀតឱកាសដែលកេងប្រវ័ញ្ចភាពងាយរងគ្រោះដើម្បីទទួលបានផលប្រយោជន៍ភ្លាមៗ តួអង្គដែលឧបត្ថម្ភដោយរដ្ឋដូចជា Salt Typhoon តែងតែមានគោលបំណងសម្រាប់ការចូលប្រើប្រាស់ប្រកបដោយនិរន្តរភាព ដែលអនុញ្ញាតឱ្យពួកគេប្រមូលព័ត៌មានស៊ើបការណ៍ រំខានដល់ប្រតិបត្តិការ ឬរៀបចំសម្រាប់ការវាយប្រហារតាមអ៊ីនធឺណិតនាពេលអនាគត។

ខណៈពេលដែលរបាយការណ៍មុនៗបានលើកឡើងថា ព្យុះទីហ្វុងអំបិលក៏បានប្រើប្រាស់ភាពងាយរងគ្រោះថ្មីៗដូចជា CVE-2023-20198 និង CVE-2023-20273 នោះ Cisco បានរកឃើញភស្តុតាងដែលគាំទ្រការអះអាងទាំងនេះទេ។ ផ្ទុយទៅវិញ វិធីសាស្ត្រចម្បងនៃការកេងប្រវ័ញ្ចនៅតែជា CVE-2018-0171 ដែលជាកំហុសនៅក្នុងពិធីការ Smart Install (SMI) របស់ Cisco រួមជាមួយនឹងការលួចព័ត៌មានសម្ងាត់។

លិខិតសម្គាល់ដែលលួច៖ គន្លឹះក្នុងការចូលប្រើដំបូង

ទិដ្ឋភាពសំខាន់នៃយុទ្ធនាការនេះគឺការប្រើប្រាស់លិខិតសម្គាល់ដែលមានសុពលភាព និងត្រូវបានលួចដើម្បីទទួលបានសិទ្ធិចូលប្រើឧបករណ៍បណ្តាញ។ ខណៈពេលដែលវិធីសាស្ត្រពិតប្រាកដដែល Salt Typhoon ប្រើដើម្បីទទួលបានព័ត៌មានបញ្ជាក់អត្តសញ្ញាណទាំងនេះនៅតែមិនច្បាស់លាស់ ភស្តុតាងបង្ហាញថាពួកគេបានស្វែងរកយ៉ាងសកម្មសម្រាប់ព័ត៌មានលម្អិតនៃការចូលដែលបានរក្សាទុកនៅក្នុងប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ ពួកគេក៏បានត្រួតពិនិត្យចរាចរណ៍បណ្តាញ ដើម្បីចាប់យកទិន្នន័យផ្ទៀងផ្ទាត់ ពិសេសកំណត់គោលដៅ SNMP, TACACS និងពិធីការ RADIUS ដើម្បីទាញយកសោសម្ងាត់ និងព័ត៌មានបញ្ជាក់ការចូលផ្សេងទៀត។

នៅពេលដែលនៅក្នុងបណ្តាញមួយ ព្យុះទីហ្វុង Salt Typhoon បានប្រើប្រាស់បច្ចេកទេសផ្សេងៗ ដើម្បីពង្រីកលទ្ធភាពរបស់ពួកគេ និងធានាឱ្យមានការចូលប្រើប្រាស់បានយូរ។ ទាំងនេះរួមបញ្ចូលការកែប្រែការកំណត់រចនាសម្ព័ន្ធឧបករណ៍បណ្តាញ ការបង្កើតគណនីមូលដ្ឋានដែលមិនមានការអនុញ្ញាត បើកដំណើរការ Guest Shell និងការដំឡើងការចូលប្រើ SSH ជាប់លាប់។

បច្ចេកទេសរស់នៅក្រៅដី និងការបែងចែកបណ្តាញ

ព្យុះទីហ្វុងអំបិលបានប្រើបច្ចេកទេសរស់នៅក្រៅដី (LOTL) ដែលពាក់ព័ន្ធនឹងការបំពានឧបករណ៍ប្រព័ន្ធ និងហេដ្ឋារចនាសម្ព័ន្ធស្របច្បាប់ ដើម្បីជៀសវាងការរកឃើញ។ ដោយប្រើឧបករណ៍បណ្តាញដែលត្រូវបានសម្របសម្រួលជាចំណុចជំនួយ ពួកគេអាចលោតពីបណ្តាញទូរគមនាគមន៍មួយទៅបណ្តាញទូរគមនាគមន៍មួយទៀត ខណៈពេលដែលនៅតែលាក់។ ឧបករណ៍ដែលត្រូវបានសម្របសម្រួលទាំងនេះទំនងជាបានបម្រើការជាអ្នកបញ្ជូនតកម្រិតមធ្យម ដោយជួយអ្នកវាយប្រហារផ្លាស់ទីនៅពេលក្រោយឆ្ពោះទៅរកគោលដៅចុងក្រោយរបស់ពួកគេ ឬបង្កើតផ្លូវបង្ហូរទិន្នន័យខាងក្រៅ។

ដើម្បីគេចពីការរកឃើញបន្ថែមទៀត ព្យុះទីហ្វុងអំបិលបានរៀបចំការកំណត់រចនាសម្ព័ន្ធបណ្តាញដោយផ្លាស់ប្តូរអាសយដ្ឋានចំណុចប្រទាក់រង្វិលជុំនៅលើឧបករណ៍ប្តូរដែលត្រូវបានសម្របសម្រួល។ នេះអនុញ្ញាតឱ្យពួកគេបង្កើតការតភ្ជាប់ SSH ដែលឆ្លងកាត់បញ្ជីត្រួតពិនិត្យការចូលប្រើ (ACLs) ដោយផ្តល់ចលនាដែលមិនមានការរឹតបន្តឹងនៅក្នុងបរិយាកាសគោលដៅ។

JumbledPath៖ ឧបករណ៍ផ្ទាល់ខ្លួនសម្រាប់ប្រតិបត្តិការសម្ងាត់

ការរកឃើញមួយក្នុងចំណោមការរកឃើញដែលពាក់ព័ន្ធបំផុតគឺ Salt Typhoon ប្រើប្រាស់ឧបករណ៍បង្កើតផ្ទាល់ខ្លួនដែលមានឈ្មោះថា JumbledPath ដែលត្រូវបានរចនាឡើងជាពិសេសសម្រាប់ការជ្រៀតចូលបណ្តាញបំបាំងកាយ។ ប្រព័ន្ធគោលពីរ ELF ដែលមានមូលដ្ឋានលើ Go នេះអាចឱ្យអ្នកវាយប្រហារធ្វើការចាប់យកកញ្ចប់ព័ត៌មាននៅលើឧបករណ៍ Cisco ពីចម្ងាយតាមរយៈម៉ាស៊ីនលោតដែលគ្រប់គ្រងដោយតួអង្គ។ ឧបករណ៍នេះក៏អាចសម្អាតកំណត់ហេតុប្រព័ន្ធ និងបិទដំណើរការកំណត់ហេតុទាំងមូល ដែលធ្វើឲ្យការវិភាគកោសល្យវិច្ច័យកាន់តែពិបាក។

កិច្ចខិតខំប្រឹងប្រែងលុបបំបាត់កំណត់ហេតុតាមកាលកំណត់កាត់បន្ថយភាពមើលឃើញនៅក្នុងសកម្មភាពរបស់ពួកគេ។ Salt Typhoon ត្រូវបានគេសង្កេតឃើញលុបកំណត់ហេតុសំខាន់ៗ រួមទាំង .bash_history, auth.log, lastlog, wtmp និង btmp ដើម្បីគ្របដណ្តប់បទរបស់ពួកគេ និងធានាថាប្រតិបត្តិការរបស់ពួកគេនៅតែមិនអាចរកឃើញសម្រាប់រយៈពេលបន្ត។

ការកេងប្រវ័ញ្ចដែលកំពុងបន្តនៃឧបករណ៍ Cisco

លើសពីសកម្មភាពរបស់ Salt Typhoon ក្រុមហ៊ុន Cisco ក៏បានរកឃើញការកំណត់គោលដៅរីករាលដាលនៃឧបករណ៍របស់ខ្លួនជាមួយនឹងមុខងារ Smart Install (SMI) ដែលត្រូវបានលាតត្រដាង ដែលនាំទៅដល់ការកេងប្រវ័ញ្ចបន្តនៃ CVE-2018-0171។ ទោះជាយ៉ាងណាក៏ដោយ ក្រុមហ៊ុន Cisco បានបំភ្លឺថា សកម្មភាពនេះមិនមានទំនាក់ទំនងជាមួយ Salt Typhoon ទេ ហើយហាក់ដូចជាមិនមានទំនាក់ទំនងជាមួយក្រុមគំរាមកំហែងដែលគេស្គាល់ណាមួយឡើយ។

របៀបដែលអង្គការអាចការពារប្រឆាំងនឹងការវាយប្រហារទាំងនេះ

ដោយមើលឃើញពីលក្ខណៈជាប់លាប់នៃប្រតិបត្តិការរបស់ Salt Typhoon អង្គការនានា-ជាពិសេសនៅក្នុងវិស័យទូរគមនាគមន៍--ត្រូវតែចាត់វិធានការយ៉ាងសកម្មដើម្បីការពារបណ្តាញរបស់ពួកគេ។ វិធានការការពារដែលបានណែនាំរួមមាន៖

• បិទកម្មវិធី Smart Install (SMI)៖ ប្រសិនបើមិនចាំបាច់ទេ SMI គួរតែត្រូវបានបិទ ដើម្បីកាត់បន្ថយហានិភ័យនៃការកេងប្រវ័ញ្ច។
• ការពង្រឹងការផ្ទៀងផ្ទាត់ពហុកត្តា (MFA)៖ ការលួចព័ត៌មានសម្ងាត់មានប្រសិទ្ធភាពតិចជាងប្រសិនបើ MFA ត្រូវបានទាមទារសម្រាប់ការផ្ទៀងផ្ទាត់។

ការជ្រៀតចូលដោយជោគជ័យរបស់ Salt Typhoon នៃបណ្តាញទូរគមនាគមន៍អាមេរិក បញ្ជាក់ពីសារៈសំខាន់នៃការប្រុងប្រយ័ត្នក្នុងសុវត្ថិភាពអ៊ីនធឺណិត។ សមត្ថភាពរបស់ពួកគេក្នុងការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះដែលមានអាយុច្រើនឆ្នាំ លួចព័ត៌មានសម្ងាត់ និងការបន្តដោយមិនអាចរកឃើញសម្រាប់រយៈពេលដ៏យូរបង្ហាញពីទិដ្ឋភាពនៃការគំរាមកំហែងដែលកំពុងវិវត្ត។ អង្គការត្រូវតែផ្តល់អាទិភាពដល់យុទ្ធសាស្ត្រការពារសកម្ម រួមទាំងការគ្រប់គ្រងបំណះដ៏រឹងមាំ ការត្រួតពិនិត្យបណ្តាញ និងការគ្រប់គ្រងការចូលប្រើយ៉ាងតឹងរឹង ដើម្បីកាត់បន្ថយហានិភ័យដែលបង្កឡើងដោយការគំរាមកំហែងតាមអ៊ីនធឺណិតដែលឧបត្ថម្ភដោយរដ្ឋ។