Cotação de desconto para licenças múltiplas
Segurança do Computador A Cisco Confirma que o Salt Typhoon Explorou a...

A Cisco Confirma que o Salt Typhoon Explorou a CVE-2018-0171 para Atingir Redes de Telecomunicações dos EUA

Por Mura em Segurança do Computador
Traduzir Para:
Português

A Cisco confirmou oficialmente que o agente de ameaça patrocinado pelo estado chinês conhecido como Salt Typhoon se infiltrou com sucesso nas redes de telecomunicações dos EUA explorando uma vulnerabilidade conhecida, CVE-2018-0171. Essa falha de segurança, combinada com o uso de credenciais de login roubadas, permitiu que os invasores mantivessem acesso de longo prazo a ambientes comprometidos, com uma instância durando mais de três anos.

De acordo com a Cisco Talos, as operações da Salt Typhoon exibem um alto nível de sofisticação, coordenação e paciência — características comuns de grupos de ameaças persistentes avançadas (APT). A campanha ressalta os riscos contínuos representados por atores de estados-nação que se infiltram estrategicamente em infraestruturas críticas para estabelecer bases profundas e persistentes.

Uma Campanha de Espionagem Cibernética Altamente Coordenada e a Longo Prazo

A capacidade do Salt Typhoon de permanecer sem ser detectado por anos destaca as táticas avançadas do grupo. Sua persistência em equipamentos de vários fornecedores sugere planejamento meticuloso e uma operação bem financiada. Ao contrário de criminosos cibernéticos oportunistas que exploram vulnerabilidades para ganho imediato, atores patrocinados pelo estado como o Salt Typhoon geralmente visam acesso sustentado, permitindo que eles reúnam inteligência, interrompam operações ou se preparem para futuros ataques cibernéticos.

Embora relatórios anteriores tenham sugerido que o Salt Typhoon também alavancou vulnerabilidades mais recentes, como CVE-2023-20198 e CVE-2023-20273, a Cisco não encontrou nenhuma evidência que apoiasse essas alegações. Em vez disso, o principal método de exploração continua sendo CVE-2018-0171, uma falha no protocolo Smart Install (SMI) da Cisco, combinada com roubo de credenciais.

Credenciais Roubadas: A Chave para o Acesso Inicial

Um aspecto essencial desta campanha é o uso de credenciais válidas e roubadas para obter acesso a dispositivos de rede. Embora o método exato que o Salt Typhoon usou para obter essas credenciais ainda não esteja claro, as evidências sugerem que eles procuraram ativamente por detalhes de login armazenados em sistemas comprometidos. Eles também monitoraram o tráfego de rede para capturar dados de autenticação, mirando especificamente nos protocolos SNMP, TACACS e RADIUS para extrair chaves secretas e outras credenciais de login.

Uma vez dentro de uma rede, o Salt Typhoon empregou várias técnicas para expandir seu alcance e garantir acesso prolongado. Isso incluía modificar configurações de dispositivos de rede, criar contas locais não autorizadas, habilitar acesso Guest Shell e configurar acesso SSH persistente.

Técnicas de Vida na Terra e Pivotamento de Rede

O Salt Typhoon alavancou técnicas de living-off-the-land (LOTL), que envolvem o abuso de ferramentas e infraestrutura legítimas do sistema para evitar a detecção. Ao usar dispositivos de rede comprometidos como pontos de articulação, eles conseguiram pular de uma rede de telecomunicações para outra enquanto permaneciam ocultos. Esses dispositivos comprometidos provavelmente serviram como retransmissores intermediários, ajudando os invasores a se moverem lateralmente em direção aos seus alvos finais ou a estabelecer rotas de exfiltração de dados de saída.

Para evitar ainda mais a detecção, o Salt Typhoon manipulou as configurações de rede alterando endereços de interface de loopback em switches comprometidos. Isso permitiu que eles estabelecessem conexões SSH que ignoravam listas de controle de acesso (ACLs), garantindo movimento irrestrito dentro do ambiente de destino.

JumbledPath: Uma Ferramenta Personalizada para Operações Furtivas

Uma das descobertas mais preocupantes é o uso pelo Salt Typhoon de uma ferramenta personalizada chamada JumbledPath, que é projetada especificamente para infiltração furtiva de rede. Este binário ELF baseado em Go permite que invasores executem capturas de pacotes em dispositivos Cisco remotos por meio de um host de salto controlado por ator. A ferramenta também pode limpar logs do sistema e desabilitar o registro completamente, tornando a análise forense significativamente mais difícil.

Esforços periódicos de apagamento de logs reduzem ainda mais a visibilidade de suas atividades. O Salt Typhoon foi observado excluindo logs críticos, incluindo .bash_history, auth.log, lastlog, wtmp e btmp, para cobrir seus rastros e garantir que suas operações permanecessem indetectáveis por longos períodos.

Exploração Contínua de Dispositivos Cisco

Além das atividades do Salt Typhoon, a Cisco também detectou um direcionamento generalizado de seus dispositivos com recursos Smart Install (SMI) expostos, levando à exploração contínua do CVE-2018-0171. No entanto, a Cisco esclareceu que essa atividade não está vinculada ao Salt Typhoon e não parece estar associada a nenhum grupo de ameaças conhecido.

Como as Organizações podem Se Defender contra Esses Ataques

Dada a natureza persistente das operações do Salt Typhoon, as organizações — especialmente aquelas no setor de telecomunicações — devem tomar medidas proativas para proteger suas redes. As medidas defensivas recomendadas incluem:

  • Desabilitando a Instalação Inteligente (SMI): Se não for necessário, o SMI deve ser desativado para mitigar o risco de exploração.
  • Aplicação da autenticação multifator (MFA): Credenciais roubadas são menos eficazes se a MFA for necessária para autenticação.
  • Atualização regular de firmware e correção de vulnerabilidades: A CVE-2018-0171 é conhecida há anos, mas os invasores continuam a explorá-lo devido a sistemas sem patches.
  • Monitoramento do tráfego de rede em busca de anomalias: As organizações devem monitorar de perto solicitações de autenticação, atividades SSH incomuns e alterações de configuração inesperadas.
  • Implementação de políticas de controle de acesso fortes: Restringir o acesso à infraestrutura crítica pode limitar a capacidade de um invasor de se mover lateralmente na rede.

A infiltração bem-sucedida do Salt Typhoon nas redes de telecomunicações dos EUA ressalta a importância da vigilância na segurança cibernética. Sua capacidade de explorar uma vulnerabilidade de anos, roubar credenciais e persistir sem ser detectado por longos períodos demonstra o cenário de ameaças em evolução. As organizações devem priorizar estratégias de defesa proativas, incluindo gerenciamento robusto de patches, monitoramento de rede e controles de acesso rigorosos, para mitigar os riscos representados por ameaças cibernéticas patrocinadas pelo estado.

Carregando...