Cisco apstiprina, ka sāls taifūns tiek izmantots CVE-2018-0171, lai mērķētu uz ASV telekomunikāciju tīkliem
Cisco ir oficiāli apstiprinājusi, ka Ķīnas valsts sponsorētais draudu aktieris, kas pazīstams kā Salt Typhoon, veiksmīgi iefiltrējās ASV telekomunikāciju tīklos, izmantojot zināmu ievainojamību CVE-2018-0171. Šis drošības trūkums apvienojumā ar zagtu pieteikšanās akreditācijas datu izmantošanu ļāva uzbrucējiem saglabāt ilgtermiņa piekļuvi apdraudētām vidēm, un viens gadījums ilga vairāk nekā trīs gadus.
Saskaņā ar Cisco Talos teikto, Salt Typhoon darbībās ir augsts izsmalcinātības, koordinācijas un pacietības līmenis, kas ir izplatītas progresīvu pastāvīgu draudu (APT) grupu iezīmes. Kampaņa uzsver pastāvīgos riskus, ko rada nacionālo valstu dalībnieki, kuri stratēģiski iefiltrējas kritiskajā infrastruktūrā, lai izveidotu dziļus un noturīgus pamatus.
Satura rādītājs
Ilgtermiņa, ļoti koordinēta kiberspiegošanas kampaņa
Salt Typhoon spēja palikt nepamanīta gadiem ilgi izceļ grupas progresīvo taktiku. To neatlaidība vairāku pārdevēju iekārtās liecina par rūpīgu plānošanu un labi finansētu darbību. Atšķirībā no oportūnistiskajiem kibernoziedzniekiem, kuri izmanto ievainojamības, lai gūtu tūlītēju labumu, valsts sponsorēti dalībnieki, piemēram, Salt Typhoon, bieži vien cenšas nodrošināt ilgstošu piekļuvi, ļaujot viņiem iegūt izlūkdatus, traucēt operācijas vai sagatavoties turpmākiem kiberuzbrukumiem.
Lai gan iepriekšējie ziņojumi liecina, ka Salt Typhoon izmantoja arī jaunākas ievainojamības, piemēram, CVE-2023-20198 un CVE-2023-20273, Cisco nav atradis pierādījumus, kas apstiprinātu šos apgalvojumus. Tā vietā galvenā izmantošanas metode joprojām ir CVE-2018-0171, kas ir Cisco viedās instalēšanas (SMI) protokola trūkums kopā ar akreditācijas datu zādzību.
Nozagti akreditācijas dati: sākotnējās piekļuves atslēga
Būtisks šīs kampaņas aspekts ir derīgu, nozagtu akreditācijas datu izmantošana, lai piekļūtu tīkla ierīcēm. Lai gan precīza metode, ko Salt Typhoon izmantoja šo akreditācijas datu iegūšanai, joprojām nav skaidra, pierādījumi liecina, ka viņi aktīvi meklēja saglabāto pieteikšanās informāciju apdraudētajās sistēmās. Viņi arī uzraudzīja tīkla trafiku, lai iegūtu autentifikācijas datus, īpaši mērķējot uz SNMP, TACACS un RADIUS protokoliem, lai iegūtu slepenās atslēgas un citus pieteikšanās akreditācijas datus.
Nokļūstot tīklā, Salt Typhoon izmantoja dažādas metodes, lai paplašinātu savu sasniedzamību un nodrošinātu ilgstošu piekļuvi. Tie ietvēra tīkla ierīču konfigurāciju pārveidošanu, nesankcionētu lokālo kontu izveidi, viesu apvalka piekļuves iespējošanu un pastāvīgas SSH piekļuves iestatīšanu.
Dzīvošanas ārpus zemes metodes un tīkla pagriešana
Salt Typhoon izmantoja dzīvošanas ārpus zemes (LOTL) metodes, kas ietver likumīgu sistēmas rīku un infrastruktūras ļaunprātīgu izmantošanu, lai izvairītos no atklāšanas. Izmantojot apdraudētas tīkla ierīces kā pagrieziena punktus, tās varēja pāriet no viena telekomunikāciju tīkla uz citu, vienlaikus paliekot paslēptas. Šīs apdraudētās ierīces, iespējams, kalpoja kā starpposma releji, palīdzot uzbrucējiem vai nu virzīties uz sāniem pretī galīgajiem mērķiem, vai izveidot izejošo datu eksfiltrācijas maršrutus.
Lai vēl vairāk izvairītos no atklāšanas, Salt Typhoon manipulēja ar tīkla konfigurācijām, mainot atgriezeniskās saites interfeisa adreses uz kompromitētiem slēdžiem. Tas ļāva viņiem izveidot SSH savienojumus, kas apiet piekļuves kontroles sarakstus (ACL), nodrošinot neierobežotu kustību mērķa vidē.
JumbledPath: pielāgots rīks slepenām darbībām
Viens no visvairāk satraucošajiem atklājumiem ir Salt Typhoon, kas izmanto īpaši izveidotu rīku JumbledPath, kas ir īpaši izstrādāts slepenai infiltrācijai tīklā. Šis uz Go balstītais ELF binārs ļauj uzbrucējiem veikt pakešu tveršanu attālās Cisco ierīcēs, izmantojot aktiera kontrolētu resursdatoru. Šis rīks var arī notīrīt sistēmas žurnālus un pilnībā atspējot reģistrēšanu, ievērojami apgrūtinot kriminālistikas analīzi.
Periodiski žurnālu dzēšanas centieni vēl vairāk samazina viņu darbību redzamību. Tika novērots, ka Salt Typhoon dzēš kritiskos žurnālus, tostarp .bash_history, auth.log, lastlog, wtmp un btmp, lai segtu to pēdas un nodrošinātu, ka to darbības ilgstoši netiek atklātas.
Pastāvīga Cisco ierīču izmantošana
Papildus Salt Typhoon darbībām Cisco ir atklājis arī plašu mērķauditorijas atlasi savām ierīcēm ar atklātām viedās instalēšanas (SMI) funkcijām, kā rezultātā tiek turpināta CVE-2018-0171 izmantošana. Tomēr Cisco paskaidroja, ka šī darbība nav saistīta ar Salt Typhoon un, šķiet, nav saistīta ar kādu zināmu draudu grupu.
Kā organizācijas var aizsargāties pret šiem uzbrukumiem
Ņemot vērā Salt Typhoon darbības pastāvīgo raksturu, organizācijām, īpaši tām, kas darbojas telekomunikāciju nozarē, ir jāveic aktīvi pasākumi, lai aizsargātu savus tīklus. Ieteicamie aizsardzības pasākumi ietver:
- Viedās instalēšanas (SMI) atspējošana: ja tas nav nepieciešams, SMI ir jāizslēdz, lai mazinātu ekspluatācijas risku.
- Daudzfaktoru autentifikācijas (MFA) ieviešana: nozagti akreditācijas dati ir mazāk efektīvi, ja autentifikācijai ir nepieciešama MFA.
Salt Typhoon veiksmīgā iefiltrēšanās ASV telekomunikāciju tīklos uzsver modrības nozīmi kiberdrošībā. Viņu spēja izmantot vairākus gadus vecu ievainojamību, zagt akreditācijas datus un ilgstoši neatklāti parāda draudu ainavas attīstību. Organizācijām par prioritāti ir jānosaka proaktīvās aizsardzības stratēģijas, tostarp spēcīga ielāpu pārvaldība, tīkla uzraudzība un stingra piekļuves kontrole, lai mazinātu riskus, ko rada valsts sponsorēti kiberdraudi.