Cisco bekrefter Salt Typhoon utnyttet CVE-2018-0171 for å målrette amerikanske telenettverk
Cisco har offisielt bekreftet at den kinesiske statsstøttede trusselaktøren kjent som Salt Typhoon har infiltrert amerikanske telekommunikasjonsnettverk ved å utnytte en kjent sårbarhet, CVE-2018-0171. Denne sikkerhetsfeilen, kombinert med bruk av stjålne påloggingsinformasjon, gjorde det mulig for angriperne å opprettholde langsiktig tilgang til kompromitterte miljøer, med en forekomst som varte i mer enn tre år.
I følge Cisco Talos viser Salt Typhoons operasjoner et høyt nivå av raffinement, koordinering og tålmodighet – vanlige trekk ved avanserte vedvarende trusselgrupper (APT). Kampanjen understreker den pågående risikoen som utgjøres av nasjonalstatlige aktører som strategisk infiltrerer kritisk infrastruktur for å etablere dype og vedvarende fotfeste.
Innholdsfortegnelse
En langsiktig, svært koordinert cyberspionasjekampanje
Salt Typhoons evne til å forbli uoppdaget i årevis fremhever gruppens avanserte taktikk. Deres utholdenhet på tvers av utstyr fra flere leverandører tyder på grundig planlegging og en godt finansiert operasjon. I motsetning til opportunistiske nettkriminelle som utnytter sårbarheter for umiddelbar vinning, sikter statsstøttede aktører som Salt Typhoon ofte på vedvarende tilgang, slik at de kan samle etterretning, forstyrre operasjoner eller forberede seg på fremtidige nettangrep.
Mens tidligere rapporter antydet at Salt Typhoon også utnyttet nyere sårbarheter, som CVE-2023-20198 og CVE-2023-20273, har Cisco ikke funnet noen bevis som støtter disse påstandene. I stedet forblir den primære utnyttelsesmetoden CVE-2018-0171, en feil i Ciscos Smart Install (SMI)-protokoll, kombinert med legitimasjonstyveri.
Stjålet legitimasjon: nøkkelen til førstegangstilgang
Et viktig aspekt ved denne kampanjen er bruken av gyldig, stjålet legitimasjon for å få tilgang til nettverksenheter. Selv om den nøyaktige metoden Salt Typhoon brukte for å skaffe disse legitimasjonene fortsatt er uklar, tyder bevis på at de aktivt søkte etter lagrede påloggingsdetaljer i kompromitterte systemer. De overvåket også nettverkstrafikk for å fange opp autentiseringsdata, spesifikt rettet mot SNMP-, TACACS- og RADIUS-protokoller for å trekke ut hemmelige nøkler og annen påloggingsinformasjon.
En gang inne i et nettverk, brukte Salt Typhoon forskjellige teknikker for å utvide rekkevidden og sikre langvarig tilgang. Disse inkluderte endring av nettverksenhetskonfigurasjoner, opprettelse av uautoriserte lokale kontoer, aktivering av Guest Shell-tilgang og oppsett av vedvarende SSH-tilgang.
Leve-av-landet-teknikker og nettverkspivotering
Salt Typhoon utnyttet LOTL-teknikker (live-off-the-land), som innebærer misbruk av legitime systemverktøy og infrastruktur for å unngå oppdagelse. Ved å bruke kompromitterte nettverksenheter som pivotpunkter, var de i stand til å hoppe fra et telenettverk til et annet mens de forble skjult. Disse kompromitterte enhetene fungerte sannsynligvis som mellomreléer, og hjalp angripere med enten å bevege seg sideveis mot deres endelige mål eller etablere utgående dataeksfiltreringsruter.
For ytterligere å unngå gjenkjenning, manipulerte Salt Typhoon nettverkskonfigurasjoner ved å endre loopback-grensesnittadresser på kompromitterte brytere. Dette tillot dem å etablere SSH-forbindelser som omgikk tilgangskontrolllister (ACL), og ga ubegrenset bevegelse innenfor målmiljøet.
JumbledPath: Et tilpasset verktøy for snikende operasjoner
En av de mest bekymringsfulle oppdagelsene er Salt Typhoons bruk av et spesialbygd verktøy ved navn JumbledPath, som er spesielt designet for snikende nettverksinfiltrasjon. Denne Go-baserte ELF-binærfilen gjør det mulig for angripere å utføre pakkefangst på eksterne Cisco-enheter via en aktørkontrollert hoppvert. Verktøyet kan også tømme systemlogger og deaktivere logging helt, noe som gjør rettsmedisinske analyser betydelig vanskeligere.
Periodisk loggsletting reduserer ytterligere synlighet i aktivitetene deres. Salt Typhoon ble observert slette kritiske logger, inkludert .bash_history, auth.log, lastlog, wtmp og btmp, for å dekke sporene deres og sikre at operasjonene deres forble uoppdaget i lengre perioder.
Pågående utnyttelse av Cisco-enheter
Utover Salt Typhoons aktiviteter, har Cisco også oppdaget utbredt målretting av enhetene sine med eksponerte Smart Install (SMI)-funksjoner, noe som fører til fortsatt utnyttelse av CVE-2018-0171. Cisco presiserte imidlertid at denne aktiviteten ikke er knyttet til Salt Typhoon og ikke ser ut til å være assosiert med noen kjent trusselgruppe.
Hvordan organisasjoner kan forsvare seg mot disse angrepene
Gitt den vedvarende karakteren til Salt Typhoons operasjoner, må organisasjoner – spesielt de i telekommunikasjonssektoren – ta proaktive skritt for å sikre nettverkene sine. Anbefalte defensive tiltak inkluderer:
- Deaktivering av Smart Install (SMI): Hvis ikke nødvendig, bør SMI slås av for å redusere risikoen for utnyttelse.
- Håndheve Multi-Factor Authentication (MFA): Stjålet legitimasjon er mindre effektive hvis MFA kreves for autentisering.
Salt Typhoons vellykkede infiltrasjon av amerikanske telenettverk understreker viktigheten av årvåkenhet innen cybersikkerhet. Deres evne til å utnytte en år gammel sårbarhet, stjele legitimasjon og vedvare uoppdaget i lengre perioder demonstrerer det utviklende trussellandskapet. Organisasjoner må prioritere proaktive forsvarsstrategier, inkludert robust oppdateringshåndtering, nettverksovervåking og strenge tilgangskontroller, for å redusere risikoen fra statsstøttede cybertrusler.