Cisco potwierdza, że Salt Typhoon wykorzystał lukę CVE-2018-0171 do ataku na amerykańskie sieci telekomunikacyjne
Cisco oficjalnie potwierdziło, że chiński państwowy aktor zagrożeń znany jako Salt Typhoon pomyślnie zinfiltrował amerykańskie sieci telekomunikacyjne, wykorzystując znaną lukę w zabezpieczeniach CVE-2018-0171. Ta luka w zabezpieczeniach, w połączeniu z wykorzystaniem skradzionych danych logowania, umożliwiła atakującym utrzymanie długoterminowego dostępu do naruszonych środowisk, przy czym jeden przypadek trwał ponad trzy lata.
Według Cisco Talos, operacje Salt Typhoon wykazują wysoki poziom wyrafinowania, koordynacji i cierpliwości — typowe cechy zaawansowanych grup stałego zagrożenia (APT). Kampania podkreśla ciągłe ryzyko stwarzane przez aktorów państw narodowych, którzy strategicznie infiltrują krytyczną infrastrukturę, aby ustanowić głębokie i stałe przyczółki.
Spis treści
Długoterminowa, wysoce skoordynowana kampania cybernetycznego szpiegostwa
Zdolność Salt Typhoon do pozostawania niewykrytym przez lata podkreśla zaawansowaną taktykę grupy. Ich wytrwałość w sprzęcie wielu dostawców sugeruje skrupulatne planowanie i dobrze finansowaną operację. W przeciwieństwie do oportunistycznych cyberprzestępców, którzy wykorzystują luki w zabezpieczeniach dla natychmiastowych korzyści, sponsorowani przez państwo aktorzy, tacy jak Salt Typhoon, często dążą do stałego dostępu, co pozwala im gromadzić informacje wywiadowcze, zakłócać operacje lub przygotowywać się na przyszłe cyberataki.
Podczas gdy poprzednie raporty sugerowały, że Salt Typhoon wykorzystał również nowsze luki, takie jak CVE-2023-20198 i CVE-2023-20273, Cisco nie znalazło żadnych dowodów potwierdzających te twierdzenia. Zamiast tego główną metodą wykorzystania pozostaje CVE-2018-0171, wada protokołu Smart Install (SMI) firmy Cisco, połączona z kradzieżą poświadczeń.
Skradzione dane uwierzytelniające: klucz do początkowego dostępu
Istotnym aspektem tej kampanii jest wykorzystanie ważnych, skradzionych danych uwierzytelniających w celu uzyskania dostępu do urządzeń sieciowych. Podczas gdy dokładna metoda, której Salt Typhoon użył do uzyskania tych danych uwierzytelniających, jest nadal niejasna, dowody wskazują, że aktywnie poszukiwali przechowywanych danych logowania w naruszonych systemach. Monitorowali również ruch sieciowy w celu przechwytywania danych uwierzytelniających, w szczególności ukierunkowując protokoły SNMP, TACACS i RADIUS w celu wyodrębnienia tajnych kluczy i innych danych uwierzytelniających.
Po wejściu do sieci Salt Typhoon zastosował różne techniki, aby rozszerzyć zasięg i zapewnić przedłużony dostęp. Obejmowały one modyfikację konfiguracji urządzeń sieciowych, tworzenie nieautoryzowanych kont lokalnych, włączanie dostępu Guest Shell i konfigurowanie trwałego dostępu SSH.
Techniki życia z ziemi i zmiany w sieci
Salt Typhoon wykorzystał techniki „living-off-the-land” (LOTL), które obejmują nadużywanie legalnych narzędzi systemowych i infrastruktury w celu uniknięcia wykrycia. Wykorzystując naruszone urządzenia sieciowe jako punkty obrotowe, byli w stanie przeskakiwać z jednej sieci telekomunikacyjnej do drugiej, pozostając ukrytymi. Te naruszone urządzenia prawdopodobnie służyły jako pośrednie przekaźniki, pomagając atakującym albo poruszać się bocznie w kierunku ich ostatecznych celów, albo ustalać trasy eksfiltracji danych wychodzących.
Aby jeszcze bardziej uniknąć wykrycia, Salt Typhoon manipulował konfiguracjami sieciowymi, zmieniając adresy interfejsu pętli zwrotnej na zainfekowanych przełącznikach. Pozwoliło im to na nawiązanie połączeń SSH, które omijały listy kontroli dostępu (ACL), zapewniając nieograniczony ruch w środowisku docelowym.
JumbledPath: niestandardowe narzędzie do operacji ukrytych
Jednym z najbardziej niepokojących odkryć jest wykorzystanie przez Salt Typhoon specjalnie zbudowanego narzędzia o nazwie JumbledPath, które zostało zaprojektowane specjalnie do ukrytej infiltracji sieci. Ten oparty na Go plik binarny ELF umożliwia atakującym wykonywanie przechwytywania pakietów na zdalnych urządzeniach Cisco za pośrednictwem hosta przeskoku kontrolowanego przez aktora. Narzędzie może również czyścić logi systemowe i całkowicie wyłączać rejestrowanie, co znacznie utrudnia analizę kryminalistyczną.
Okresowe działania mające na celu wymazanie logów jeszcze bardziej ograniczają widoczność ich działań. Zaobserwowano, że Salt Typhoon usuwał krytyczne logi, w tym .bash_history, auth.log, lastlog, wtmp i btmp, aby zatrzeć ślady i zapewnić, że ich działania pozostaną niewykryte przez dłuższy czas.
Ciągła eksploatacja urządzeń Cisco
Oprócz działań Salt Typhoon, Cisco wykryło również szeroko zakrojone ataki na swoje urządzenia z odsłoniętymi funkcjami Smart Install (SMI), co doprowadziło do dalszego wykorzystywania luki CVE-2018-0171. Cisco wyjaśniło jednak, że ta aktywność nie jest związana z Salt Typhoon i nie wydaje się być powiązana z żadną znaną grupą zagrożeń.
Jak organizacje mogą bronić się przed tymi atakami
Biorąc pod uwagę uporczywy charakter operacji Salt Typhoon, organizacje — zwłaszcza te z sektora telekomunikacyjnego — muszą podejmować proaktywne kroki w celu zabezpieczenia swoich sieci. Zalecane środki obronne obejmują:
- Wyłączanie funkcji Smart Install (SMI): Jeżeli nie jest wymagana, należy wyłączyć funkcję SMI, aby zmniejszyć ryzyko wykorzystania luk w zabezpieczeniach.
- Wymuszanie uwierzytelniania wieloskładnikowego (MFA): Skradzione dane uwierzytelniające są mniej skuteczne, jeśli do uwierzytelnienia wymagane jest uwierzytelnianie wieloskładnikowe.
Udana infiltracja amerykańskich sieci telekomunikacyjnych przez Salt Typhoon podkreśla znaczenie czujności w cyberbezpieczeństwie. Ich zdolność do wykorzystywania wieloletniej podatności, kradzieży danych uwierzytelniających i pozostawania niewykrytym przez dłuższy czas pokazuje ewoluujący krajobraz zagrożeń. Organizacje muszą priorytetowo traktować proaktywne strategie obronne, w tym solidne zarządzanie poprawkami, monitorowanie sieci i ścisłe kontrole dostępu, aby złagodzić ryzyko stwarzane przez sponsorowane przez państwo cyberzagrożenia.