सिस्कोले अमेरिकी दूरसञ्चार नेटवर्कहरूलाई लक्षित गर्न CVE-2018-0171 मा साल्ट टाइफुन प्रयोग गरिएको पुष्टि गर्‍यो

सिस्कोले आधिकारिक रूपमा पुष्टि गरेको छ कि साल्ट टाइफुन भनेर चिनिने चिनियाँ राज्य-प्रायोजित खतरा अभिनेताले ज्ञात जोखिम, CVE-2018-0171 को शोषण गरेर अमेरिकी दूरसञ्चार नेटवर्कहरूमा सफलतापूर्वक घुसपैठ गरेको थियो। यो सुरक्षा त्रुटि, चोरी लगइन प्रमाणहरूको प्रयोगसँग मिलेर, आक्रमणकारीहरूलाई सम्झौता गरिएको वातावरणमा दीर्घकालीन पहुँच कायम राख्न सक्षम बनायो, जसमध्ये एउटा उदाहरण तीन वर्षभन्दा बढी समयसम्म रह्यो।

सिस्को टालोसका अनुसार, साल्ट टाइफुनको सञ्चालनले उच्च स्तरको परिष्कार, समन्वय र धैर्यता प्रदर्शन गर्दछ - उन्नत निरन्तर खतरा (APT) समूहहरूको सामान्य विशेषताहरू। यो अभियानले राष्ट्र-राज्य अभिनेताहरूद्वारा निम्त्याइएका निरन्तर जोखिमहरूलाई जोड दिन्छ जसले गहिरो र निरन्तर पाइला स्थापित गर्न रणनीतिक रूपमा महत्वपूर्ण पूर्वाधारमा घुसपैठ गर्छन्।

दीर्घकालीन, उच्च समन्वित साइबर जासुसी अभियान

साल्ट टाइफुनको वर्षौंसम्म पत्ता नलाग्ने क्षमताले समूहको उन्नत रणनीतिलाई प्रकाश पार्छ। धेरै विक्रेताहरूको उपकरणहरूमा उनीहरूको दृढताले सावधानीपूर्वक योजना र राम्रोसँग वित्त पोषित अपरेशनको सुझाव दिन्छ। तत्काल लाभको लागि कमजोरीहरूको शोषण गर्ने अवसरवादी साइबर अपराधीहरू भन्दा फरक, साल्ट टाइफुन जस्ता राज्य-प्रायोजित अभिनेताहरूले प्रायः दिगो पहुँचको लक्ष्य राख्छन्, जसले गर्दा उनीहरूलाई गुप्तचर जानकारी सङ्कलन गर्न, सञ्चालनमा बाधा पुर्‍याउन वा भविष्यका साइबर आक्रमणहरूको लागि तयारी गर्न अनुमति मिल्छ।

अघिल्ला रिपोर्टहरूले सुझाव दिएका थिए कि साल्ट टाइफुनले CVE-2023-20198 र CVE-2023-20273 जस्ता नयाँ कमजोरीहरूलाई पनि फाइदा पुर्‍यायो, सिस्कोले यी दावीहरूलाई समर्थन गर्ने कुनै प्रमाण फेला पारेको छैन। बरु, शोषणको प्राथमिक विधि CVE-2018-0171 रहन्छ, सिस्कोको स्मार्ट स्थापना (SMI) प्रोटोकलमा एक त्रुटि, प्रमाण चोरीसँग मिलेर।

चोरी भएका प्रमाणहरू: प्रारम्भिक पहुँचको कुञ्जी

यस अभियानको एउटा आवश्यक पक्ष भनेको नेटवर्क उपकरणहरूमा पहुँच प्राप्त गर्न वैध, चोरी भएका प्रमाणहरूको प्रयोग हो। साल्ट टाइफुनले यी प्रमाणहरू प्राप्त गर्न प्रयोग गरेको सही विधि अझै स्पष्ट नभए पनि, प्रमाणहरूले सुझाव दिन्छ कि तिनीहरूले सम्झौता गरिएका प्रणालीहरू भित्र भण्डारण गरिएका लगइन विवरणहरूको लागि सक्रिय रूपमा खोजी गरे। तिनीहरूले प्रमाणीकरण डेटा क्याप्चर गर्न नेटवर्क ट्राफिकको पनि निगरानी गरे, विशेष गरी गोप्य कुञ्जीहरू र अन्य लगइन प्रमाणहरू निकाल्न SNMP, TACACS, र RADIUS प्रोटोकलहरूलाई लक्षित गर्दै।

नेटवर्क भित्र पसेपछि, साल्ट टाइफुनले आफ्नो पहुँच विस्तार गर्न र लामो पहुँच सुनिश्चित गर्न विभिन्न प्रविधिहरू प्रयोग गर्‍यो। यसमा नेटवर्क उपकरण कन्फिगरेसनहरू परिमार्जन गर्ने, अनधिकृत स्थानीय खाताहरू सिर्जना गर्ने, अतिथि शेल पहुँच सक्षम पार्ने, र निरन्तर SSH पहुँच सेटअप गर्ने समावेश थियो।

भूमि बाहिर बस्ने प्रविधि र नेटवर्क पिभोटिंग

साल्ट टाइफुनले लिभिङ-अफ-द-ल्याण्ड (LOTL) प्रविधिहरूको प्रयोग गर्‍यो, जसमा पत्ता लगाउनबाट बच्न वैध प्रणाली उपकरणहरू र पूर्वाधारको दुरुपयोग समावेश छ। सम्झौता गरिएका नेटवर्क उपकरणहरूलाई पिभोट पोइन्टको रूपमा प्रयोग गरेर, तिनीहरू लुकेर बस्दा एक टेलिकम नेटवर्कबाट अर्कोमा हाम फाल्न सक्षम भए। यी सम्झौता गरिएका उपकरणहरूले सम्भवतः मध्यवर्ती रिलेको रूपमा काम गरे, जसले आक्रमणकारीहरूलाई या त उनीहरूको अन्तिम लक्ष्यतिर पार्श्व रूपमा जान वा आउटबाउन्ड डेटा एक्सफिल्टरेशन मार्गहरू स्थापना गर्न मद्दत गर्‍यो।

पत्ता लगाउनबाट बच्नको लागि, साल्ट टाइफुनले सम्झौता गरिएका स्विचहरूमा लुपब्याक इन्टरफेस ठेगानाहरू परिवर्तन गरेर नेटवर्क कन्फिगरेसनहरूलाई हेरफेर गर्‍यो। यसले तिनीहरूलाई पहुँच नियन्त्रण सूचीहरू (ACLs) लाई बाइपास गर्ने SSH जडानहरू स्थापना गर्न अनुमति दियो, लक्षित वातावरण भित्र असीमित आन्दोलन प्रदान गर्दै।

जम्बल्डपाथ: स्टिल्थी अपरेशनहरूको लागि एक अनुकूलन उपकरण

सबैभन्दा चिन्ताजनक खोजहरू मध्ये एक साल्ट टाइफुनले जम्बलडपाथ नामक कस्टम-निर्मित उपकरणको प्रयोग गर्नु हो, जुन विशेष रूपमा स्टिल्थी नेटवर्क घुसपैठको लागि डिजाइन गरिएको हो। यो गो-आधारित ELF बाइनरीले आक्रमणकारीहरूलाई अभिनेता-नियन्त्रित जम्प होस्ट मार्फत टाढाको सिस्को उपकरणहरूमा प्याकेट क्याप्चरहरू कार्यान्वयन गर्न सक्षम बनाउँछ। उपकरणले प्रणाली लगहरू खाली गर्न र लगिङलाई पूर्ण रूपमा असक्षम पार्न सक्छ, जसले गर्दा फोरेन्सिक विश्लेषणलाई उल्लेखनीय रूपमा गाह्रो बनाउँछ।

आवधिक लग मेटाउने प्रयासहरूले तिनीहरूको गतिविधिहरूमा दृश्यतालाई अझ कम गर्छ। साल्ट टाइफुनले तिनीहरूको ट्र्याकहरू ढाक्न र तिनीहरूको सञ्चालनहरू लामो समयसम्म पत्ता नलागेको सुनिश्चित गर्न .bash_history, auth.log, lastlog, wtmp, र btmp लगायतका महत्त्वपूर्ण लगहरू मेटाउँदै गरेको देखियो।

सिस्को उपकरणहरूको निरन्तर शोषण

साल्ट टाइफुनको गतिविधिहरू बाहेक, सिस्कोले खुला स्मार्ट स्थापना (SMI) सुविधाहरू भएका आफ्ना उपकरणहरूको व्यापक लक्ष्यीकरण पनि पत्ता लगाएको छ, जसले गर्दा CVE-२०१८-०१७१ को निरन्तर शोषण भइरहेको छ। यद्यपि, सिस्कोले स्पष्ट पारेको छ कि यो गतिविधि साल्ट टाइफुनसँग सम्बन्धित छैन र कुनै ज्ञात खतरा समूहसँग सम्बन्धित देखिँदैन।

यी आक्रमणहरू विरुद्ध संस्थाहरूले कसरी रक्षा गर्न सक्छन्

साल्ट टाइफुनको सञ्चालनको निरन्तर प्रकृतिलाई ध्यानमा राख्दै, विशेष गरी दूरसञ्चार क्षेत्रमा काम गर्ने संस्थाहरूले आफ्नो नेटवर्क सुरक्षित गर्न सक्रिय कदम चाल्नुपर्छ। सिफारिस गरिएका रक्षात्मक उपायहरूमा समावेश छन्:

• स्मार्ट स्थापना (SMI) असक्षम पार्दै: यदि आवश्यक छैन भने, शोषणको जोखिम कम गर्न SMI बन्द गर्नुपर्छ।
• बहु-कारक प्रमाणीकरण (MFA) लागू गर्ने: यदि प्रमाणीकरणको लागि MFA आवश्यक छ भने चोरी भएका प्रमाणहरू कम प्रभावकारी हुन्छन्।

अमेरिकी दूरसञ्चार नेटवर्कहरूमा साल्ट टाइफुनको सफल घुसपैठले साइबर सुरक्षामा सतर्कताको महत्त्वलाई जोड दिन्छ। वर्षौं पुरानो जोखिमको फाइदा उठाउने, प्रमाणहरू चोर्ने र लामो समयसम्म पत्ता नलागेर बस्ने उनीहरूको क्षमताले विकसित खतरा परिदृश्यलाई प्रदर्शन गर्दछ। राज्य-प्रायोजित साइबर खतराहरूबाट उत्पन्न जोखिमहरूलाई कम गर्न संस्थाहरूले सक्रिय रक्षा रणनीतिहरूलाई प्राथमिकता दिनुपर्छ, जसमा बलियो प्याच व्यवस्थापन, नेटवर्क अनुगमन र कडा पहुँच नियन्त्रणहरू समावेश छन्।