Cisco, Salt Typhoon이 CVE-2018-0171을 악용해 미국 통신 네트워크를 표적으로 삼았다고 확인
시스코는 공식적으로 중국 국가가 지원하는 위협 행위자인 Salt Typhoon이 알려진 취약점인 CVE-2018-0171을 악용하여 미국 통신망에 성공적으로 침투했다고 확인했습니다. 이 보안 결함은 도난된 로그인 자격 증명 사용과 결합되어 공격자가 손상된 환경에 장기간 액세스할 수 있게 했으며, 한 사례는 3년 이상 지속되었습니다.
Cisco Talos에 따르면, Salt Typhoon의 작전은 고도의 정교함, 조정력, 인내심을 보여줍니다. 이는 고급 지속적 위협(APT) 그룹의 공통적인 특성입니다. 이 캠페인은 깊고 지속적인 발판을 마련하기 위해 중요한 인프라에 전략적으로 침투하는 국가 행위자들이 초래하는 지속적인 위험을 강조합니다.
목차
장기적이고 고도로 조율된 사이버 스파이 캠페인
Salt Typhoon이 수년간 탐지되지 않은 채 남아 있는 능력은 이 그룹의 진보된 전술을 강조합니다. 여러 공급업체의 장비에 걸쳐 지속되는 것은 세심한 계획과 자금이 충분한 작전을 시사합니다. 즉각적인 이익을 위해 취약점을 악용하는 기회주의적 사이버 범죄자와 달리 Salt Typhoon과 같은 국가 지원 행위자는 종종 지속적인 접근을 목표로 하여 정보를 수집하고, 작전을 방해하거나, 미래의 사이버 공격에 대비합니다.
이전 보고서에서는 Salt Typhoon이 CVE-2023-20198 및 CVE-2023-20273과 같은 새로운 취약점도 활용한다고 제안했지만, Cisco에서는 이러한 주장을 뒷받침하는 증거를 찾지 못했습니다. 대신 주요 악용 방법은 여전히 CVE-2018-0171로, Cisco의 Smart Install(SMI) 프로토콜의 결함과 자격 증명 도용이 결합된 것입니다.
도난된 자격 증명: 초기 접근의 열쇠
이 캠페인의 필수적인 측면은 유효하고 도난당한 자격 증명을 사용하여 네트워크 장치에 액세스하는 것입니다. Salt Typhoon이 이러한 자격 증명을 얻는 데 사용한 정확한 방법은 아직 불분명하지만, 증거에 따르면 손상된 시스템 내에서 저장된 로그인 세부 정보를 적극적으로 검색한 것으로 보입니다. 또한 네트워크 트래픽을 모니터링하여 인증 데이터를 캡처했으며, 특히 SNMP, TACACS 및 RADIUS 프로토콜을 대상으로 비밀 키와 기타 로그인 자격 증명을 추출했습니다.
네트워크 내부에 들어가면, Salt Typhoon은 다양한 기술을 사용하여 도달 범위를 확장하고 장기간의 접근을 보장했습니다. 여기에는 네트워크 장치 구성 수정, 승인되지 않은 로컬 계정 생성, Guest Shell 접근 활성화, 지속적인 SSH 접근 설정 등이 포함되었습니다.
토지에서 자급자족하는 기술과 네트워크 피벗팅
솔트 타이푼은 합법적인 시스템 도구와 인프라를 남용하여 탐지를 피하는 Living-off-the-land(LOTL) 기술을 활용했습니다. 손상된 네트워크 장치를 피벗 포인트로 사용하여 숨겨진 채로 한 통신망에서 다른 통신망으로 이동할 수 있었습니다. 이러한 손상된 장치는 중간 릴레이 역할을 했을 가능성이 높으며, 공격자가 궁극적인 목표물을 향해 측면으로 이동하거나 아웃바운드 데이터 유출 경로를 설정하는 데 도움이 되었습니다.
탐지를 더욱 피하기 위해 Salt Typhoon은 손상된 스위치의 루프백 인터페이스 주소를 변경하여 네트워크 구성을 조작했습니다. 이를 통해 액세스 제어 목록(ACL)을 우회하는 SSH 연결을 설정하여 대상 환경 내에서 무제한 이동을 허용할 수 있었습니다.
JumbledPath: 은밀한 작전을 위한 맞춤형 도구
가장 우려되는 발견 중 하나는 Salt Typhoon이 JumbledPath라는 맞춤형 도구를 사용한 것입니다. 이 도구는 은밀한 네트워크 침투를 위해 특별히 설계되었습니다. 이 Go 기반 ELF 바이너리를 통해 공격자는 액터 제어 점프 호스트를 통해 원격 Cisco 장치에서 패킷 캡처를 실행할 수 있습니다. 이 도구는 또한 시스템 로그를 지우고 로깅을 완전히 비활성화하여 포렌식 분석을 훨씬 더 어렵게 만들 수 있습니다.
주기적인 로그 삭제 작업으로 인해 활동에 대한 가시성이 더욱 감소했습니다. Salt Typhoon은 .bash_history, auth.log, lastlog, wtmp, btmp를 포함한 중요한 로그를 삭제하여 흔적을 감추고 작업이 장기간 감지되지 않도록 하는 것으로 관찰되었습니다.
Cisco 장비의 지속적인 악용
Salt Typhoon의 활동 외에도 Cisco는 노출된 Smart Install(SMI) 기능이 있는 장치를 광범위하게 타겟팅하는 것을 감지했으며, 이로 인해 CVE-2018-0171이 계속 악용되었습니다. 그러나 Cisco는 이 활동이 Salt Typhoon과 관련이 없으며 알려진 위협 그룹과 관련이 없는 것으로 보인다고 밝혔습니다.
조직이 이러한 공격에 대항하여 방어할 수 있는 방법
Salt Typhoon의 지속적인 운영 특성을 감안할 때, 특히 통신 부문의 조직은 네트워크를 보호하기 위해 적극적인 조치를 취해야 합니다. 권장되는 방어 조치는 다음과 같습니다.
- 스마트 설치(SMI) 비활성화: 필요하지 않은 경우 악용 위험을 완화하기 위해 SMI를 꺼야 합니다.
- 다중 요소 인증(MFA) 적용: 인증에 MFA가 필요한 경우 도난당한 자격 증명은 그다지 효과적이지 않습니다.
솔트 타이푼이 미국 통신망에 성공적으로 침투한 것은 사이버 보안에 있어 경계의 중요성을 강조합니다. 수년 된 취약성을 악용하고, 자격 증명을 훔치고, 장기간 감지되지 않고 버틸 수 있는 능력은 진화하는 위협 환경을 보여줍니다. 조직은 강력한 패치 관리, 네트워크 모니터링, 엄격한 액세스 제어를 포함한 사전 방어 전략을 우선시하여 국가가 지원하는 사이버 위협으로 인한 위험을 완화해야 합니다.