Cisco Sahkan Salt Typhoon Dieksploitasi CVE-2018-0171 untuk Sasar Rangkaian Telekom AS
Cisco secara rasmi mengesahkan bahawa aktor ancaman tajaan negara China yang dikenali sebagai Salt Typhoon berjaya menyusup ke rangkaian telekomunikasi AS dengan mengeksploitasi kelemahan yang diketahui, CVE-2018-0171. Kecacatan keselamatan ini, digabungkan dengan penggunaan bukti kelayakan log masuk yang dicuri, membolehkan penyerang mengekalkan akses jangka panjang kepada persekitaran yang terjejas, dengan satu contoh bertahan lebih daripada tiga tahun.
Menurut Cisco Talos, operasi Salt Typhoon mempamerkan tahap kecanggihan, penyelarasan dan kesabaran yang tinggi—ciri biasa kumpulan ancaman berterusan lanjutan (APT). Kempen ini menggariskan risiko berterusan yang ditimbulkan oleh aktor negara bangsa yang secara strategik menyusup ke infrastruktur kritikal untuk mewujudkan pijakan yang mendalam dan berterusan.
Isi kandungan
Kempen Pengintipan Siber Jangka Panjang yang Sangat Terkoordinasi
Keupayaan Salt Typhoon untuk kekal tidak dapat dikesan selama bertahun-tahun menyerlahkan taktik lanjutan kumpulan itu. Kegigihan mereka merentasi pelbagai peralatan vendor mencadangkan perancangan yang teliti dan operasi yang dibiayai dengan baik. Tidak seperti penjenayah siber oportunistik yang mengeksploitasi kelemahan untuk mendapatkan keuntungan segera, pelakon tajaan kerajaan seperti Salt Typhoon sering menyasarkan akses yang berterusan, membolehkan mereka mengumpulkan risikan, mengganggu operasi atau bersedia untuk serangan siber pada masa hadapan.
Walaupun laporan sebelumnya mencadangkan bahawa Salt Typhoon juga memanfaatkan kelemahan yang lebih baru, seperti CVE-2023-20198 dan CVE-2023-20273, Cisco tidak menemui bukti yang menyokong dakwaan ini. Sebaliknya, kaedah utama eksploitasi kekal CVE-2018-0171, kecacatan dalam protokol Pemasangan Pintar (SMI) Cisco, digabungkan dengan kecurian kelayakan.
Tauliah Dicuri: Kunci Akses Awal
Aspek penting kempen ini ialah penggunaan bukti kelayakan yang sah dan dicuri untuk mendapatkan akses kepada peranti rangkaian. Walaupun kaedah tepat Salt Typhoon yang digunakan untuk mendapatkan kelayakan ini masih tidak jelas, bukti menunjukkan bahawa mereka secara aktif mencari butiran log masuk yang disimpan dalam sistem yang terjejas. Mereka juga memantau trafik rangkaian untuk menangkap data pengesahan, khususnya menyasarkan protokol SNMP, TACACS dan RADIUS untuk mengekstrak kunci rahsia dan bukti kelayakan log masuk lain.
Setelah berada dalam rangkaian, Salt Typhoon menggunakan pelbagai teknik untuk meluaskan jangkauan mereka dan memastikan akses yang berpanjangan. Ini termasuk mengubah suai konfigurasi peranti rangkaian, mencipta akaun tempatan yang tidak dibenarkan, mendayakan akses Guest Shell dan menyediakan akses SSH yang berterusan.
Teknik Hidup-di-luar-Darat dan Pangsi Rangkaian
Salt Typhoon memanfaatkan teknik hidup di luar darat (LOTL), yang melibatkan penyalahgunaan alatan dan infrastruktur sistem yang sah untuk mengelakkan pengesanan. Dengan menggunakan peranti rangkaian yang terjejas sebagai titik pangsi, mereka dapat melompat dari satu rangkaian telekom ke rangkaian lain sambil kekal tersembunyi. Peranti yang terjejas ini mungkin berfungsi sebagai geganti perantaraan, membantu penyerang sama ada bergerak ke sisi ke arah sasaran muktamad mereka atau mewujudkan laluan exfiltrasi data keluar.
Untuk terus mengelak pengesanan, Salt Typhoon memanipulasi konfigurasi rangkaian dengan mengubah alamat antara muka gelung balik pada suis yang terjejas. Ini membolehkan mereka mewujudkan sambungan SSH yang memintas senarai kawalan akses (ACL), memberikan pergerakan tanpa had dalam persekitaran sasaran.
JumbledPath: Alat Tersuai untuk Operasi Senyap
Salah satu penemuan yang paling membimbangkan ialah penggunaan Salt Typhoon terhadap alat tersuai yang dinamakan JumbledPath, yang direka khusus untuk penyusupan rangkaian yang tersembunyi. Perduaan ELF berasaskan Go ini membolehkan penyerang melaksanakan tangkapan paket pada peranti Cisco jauh melalui hos lompat dikawal pelakon. Alat ini juga boleh mengosongkan log sistem dan melumpuhkan pembalakan sama sekali, menjadikan analisis forensik jauh lebih sukar.
Usaha pemadaman log berkala mengurangkan lagi keterlihatan ke dalam aktiviti mereka. Salt Typhoon telah diperhatikan memadamkan log kritikal, termasuk .bash_history, auth.log, lastlog, wtmp dan btmp, untuk menutup jejak mereka dan memastikan operasi mereka kekal tidak dapat dikesan untuk tempoh yang lama.
Eksploitasi Berterusan Peranti Cisco
Di luar aktiviti Salt Typhoon, Cisco juga telah mengesan penyasaran meluas perantinya dengan ciri Pemasangan Pintar (SMI) terdedah, yang membawa kepada eksploitasi berterusan CVE-2018-0171. Bagaimanapun, Cisco menjelaskan bahawa aktiviti ini tidak dikaitkan dengan Salt Typhoon dan nampaknya tidak dikaitkan dengan mana-mana kumpulan ancaman yang diketahui.
Bagaimana Organisasi Boleh Bertahan Menentang Serangan Ini
Memandangkan sifat berterusan operasi Salt Typhoon, organisasi—terutamanya dalam sektor telekomunikasi—mesti mengambil langkah proaktif untuk menjamin rangkaian mereka. Langkah-langkah pertahanan yang disyorkan termasuk:
- Melumpuhkan Pemasangan Pintar (SMI): Jika tidak diperlukan, SMI harus dimatikan untuk mengurangkan risiko eksploitasi.
- Menguatkuasakan Pengesahan Berbilang Faktor (MFA): Bukti kelayakan yang dicuri kurang berkesan jika MFA diperlukan untuk pengesahan.
Kejayaan penyusupan Salt Typhoon ke dalam rangkaian telekomunikasi AS menggariskan kepentingan kewaspadaan dalam keselamatan siber. Keupayaan mereka untuk mengeksploitasi kerentanan berusia bertahun-tahun, mencuri bukti kelayakan dan berterusan tanpa dikesan untuk tempoh yang panjang menunjukkan landskap ancaman yang berkembang. Organisasi mesti mengutamakan strategi pertahanan proaktif, termasuk pengurusan tampung yang mantap, pemantauan rangkaian dan kawalan akses yang ketat, untuk mengurangkan risiko yang ditimbulkan oleh ancaman siber tajaan kerajaan.