„Cisco“ patvirtina, kad „Salt Typhoon“ išnaudojo CVE-2018-0171, kad būtų taikoma JAV telekomunikacijų tinklams
„Cisco“ oficialiai patvirtino, kad Kinijos valstybės remiamas grėsmių veikėjas, žinomas kaip „Salt Typhoon“, sėkmingai įsiskverbė į JAV telekomunikacijų tinklus, pasinaudodamas žinomu pažeidžiamumu CVE-2018-0171. Šis saugos trūkumas kartu su pavogtų prisijungimo kredencialų naudojimu leido užpuolikams išlaikyti ilgalaikę prieigą prie pažeistos aplinkos, o vienas atvejis truko ilgiau nei trejus metus.
„Cisco Talos“ teigimu, „Salt Typhoon“ operacijos pasižymi aukštu rafinuotumo, koordinavimo ir kantrybės lygiu – tai yra bendri pažangių nuolatinės grėsmės (APT) grupių bruožai. Kampanija pabrėžia nuolatinę riziką, kurią kelia nacionalinių valstybių veikėjai, kurie strategiškai įsiskverbia į ypatingos svarbos infrastruktūrą, kad įsitvirtintų giliai ir nuolat.
Turinys
Ilgalaikė, gerai koordinuota kibernetinio šnipinėjimo kampanija
„Salt Typhoon“ sugebėjimas išlikti nepastebėtas ilgus metus išryškina pažangią grupės taktiką. Jų atkaklumas tarp kelių pardavėjų įrangos rodo kruopštų planavimą ir gerai finansuojamą veiklą. Skirtingai nuo oportunistinių kibernetinių nusikaltėlių, kurie išnaudoja pažeidžiamumą siekdami tiesioginės naudos, valstybės remiami veikėjai, tokie kaip „Salt Typhoon“, dažnai siekia nuolatinės prieigos, leidžiančios jiems rinkti žvalgybos informaciją, sutrikdyti operacijas arba pasiruošti būsimoms kibernetinėms atakoms.
Nors ankstesnėse ataskaitose buvo teigiama, kad „Salt Typhoon“ taip pat panaudojo naujesnius pažeidžiamumus, tokius kaip CVE-2023-20198 ir CVE-2023-20273, „Cisco“ nerado įrodymų, patvirtinančių šiuos teiginius. Vietoj to, pagrindinis išnaudojimo būdas išlieka CVE-2018-0171 – „Cisco“ išmaniojo diegimo (SMI) protokolo trūkumas kartu su kredencialų vagyste.
Pavogti kredencialai: raktas į pradinę prieigą
Esminis šios kampanijos aspektas yra galiojančių, pavogtų kredencialų naudojimas norint pasiekti tinklo įrenginius. Nors tikslus metodas, kurį „Salt Typhoon“ naudojo šiems kredencialams gauti, vis dar neaiškus, įrodymai rodo, kad jie aktyviai ieškojo saugomos prisijungimo informacijos pažeistose sistemose. Jie taip pat stebėjo tinklo srautą, kad gautų autentifikavimo duomenis, konkrečiai taikydami SNMP, TACACS ir RADIUS protokolus, kad išgautų slaptus raktus ir kitus prisijungimo duomenis.
Patekęs į tinklą, „Salt Typhoon“ naudojo įvairius metodus, kad išplėstų pasiekiamumą ir užtikrintų ilgalaikę prieigą. Tai apėmė tinklo įrenginių konfigūracijų keitimą, neteisėtų vietinių paskyrų kūrimą, „Guest Shell“ prieigos įgalinimą ir nuolatinės SSH prieigos nustatymą.
„Living off-the-Land“ metodai ir tinklo pasukimas
„Salt Typhoon“ panaudojo gyvenimo ne žemėje (LOTL) metodus, kurie apima piktnaudžiavimą teisėtais sistemos įrankiais ir infrastruktūra, kad būtų išvengta aptikimo. Naudodami pažeistus tinklo įrenginius kaip sukimosi taškus, jie galėjo pereiti iš vieno telekomunikacijų tinklo į kitą ir likti paslėpti. Šie pažeisti įrenginiai greičiausiai tarnavo kaip tarpinės relės, padedančios užpuolikams judėti į šoną link galutinių taikinių arba nustatyti išeinančių duomenų išfiltravimo maršrutus.
Siekdama toliau išvengti aptikimo, „Salt Typhoon“ manipuliavo tinklo konfigūracijomis, pakeisdama atgalinio ryšio sąsajos adresus pažeistuose jungikliuose. Tai leido jiems užmegzti SSH ryšius, kurie apeidavo prieigos kontrolės sąrašus (ACL), suteikdami neribotą judėjimą tikslinėje aplinkoje.
„JumbledPath“: pritaikytas slaptų operacijų įrankis
Vienas iš labiausiai susirūpinimą keliančių atradimų yra „Salt Typhoon“ pagal užsakymą sukurto įrankio „JumbledPath“ naudojimas, kuris yra specialiai sukurtas slaptam tinklo įsiskverbimui. Šis „Go“ pagrindu sukurtas ELF dvejetainis failas leidžia užpuolikams vykdyti paketų fiksavimą nuotoliniuose „Cisco“ įrenginiuose per aktoriaus valdomą pagrindinį kompiuterį. Įrankis taip pat gali išvalyti sistemos žurnalus ir apskritai išjungti registravimą, todėl teismo ekspertizė žymiai apsunkina.
Periodiškas žurnalų trynimas dar labiau sumažina jų veiklos matomumą. Buvo pastebėta, kad „Salt Typhoon“ ištrina svarbius žurnalus, įskaitant .bash_history, auth.log, lastlog, wtmp ir btmp, kad padengtų jų pėdsakus ir užtikrintų, kad jų operacijos liktų neaptiktos ilgą laiką.
Nuolatinis „Cisco“ įrenginių eksploatavimas
Be „Salt Typhoon“ veiklos, „Cisco“ taip pat aptiko plačiai paplitusią taikymą į savo įrenginius su atskleistomis išmaniojo diegimo (SMI) funkcijomis, todėl CVE-2018-0171 toliau naudojamas. Tačiau „Cisco“ patikslino, kad ši veikla nėra susijusi su „Salt Typhoon“ ir neatrodo susijusi su jokia žinoma grėsmės grupe.
Kaip organizacijos gali apsiginti nuo šių išpuolių
Atsižvelgiant į nuolatinį „Salt Typhoon“ veiklos pobūdį, organizacijos, ypač telekomunikacijų sektoriuje, turi imtis aktyvių veiksmų, kad apsaugotų savo tinklus. Rekomenduojamos apsaugos priemonės:
- Išmaniojo diegimo (SMI) išjungimas: jei nereikalaujama, SMI reikia išjungti, kad būtų sumažinta išnaudojimo rizika.
- Kelių faktorių autentifikavimo (MFA) vykdymas: pavogti kredencialai yra mažiau veiksmingi, jei autentifikavimui reikalinga MFA.
Sėkmingas „Salt Typhoon“ įsiskverbimas į JAV telekomunikacijų tinklus pabrėžia budrumo svarbą kibernetinio saugumo srityje. Jų gebėjimas išnaudoti daugelį metų senumo pažeidžiamumą, pavogti kredencialus ir išlikti nepastebimai ilgą laiką rodo besikeičiančią grėsmės aplinką. Organizacijos turi teikti pirmenybę aktyvioms gynybos strategijoms, įskaitant patikimą pataisų valdymą, tinklo stebėjimą ir griežtą prieigos kontrolę, kad sumažintų valstybės remiamų kibernetinių grėsmių keliamą riziką.