Cisco confirmă că Salt Typhoon a exploatat CVE-2018-0171 pentru a viza rețelele de telecomunicații din SUA
Cisco a confirmat oficial că actorul de amenințare sponsorizat de stat chinez, cunoscut sub numele de Salt Typhoon, s-a infiltrat cu succes în rețelele de telecomunicații din SUA exploatând o vulnerabilitate cunoscută, CVE-2018-0171. Această defecțiune de securitate, combinată cu utilizarea acreditărilor de conectare furate, a permis atacatorilor să mențină accesul pe termen lung la medii compromise, cu o instanță care durează mai mult de trei ani.
Potrivit Cisco Talos, operațiunile Salt Typhoon prezintă un nivel ridicat de sofisticare, coordonare și răbdare - trăsături comune ale grupurilor de amenințări persistente avansate (APT). Campania subliniază riscurile permanente prezentate de actorii statului național care se infiltrează strategic în infrastructura critică pentru a stabili puncte de sprijin profunde și persistente.
Cuprins
O campanie de spionaj cibernetic pe termen lung, înalt coordonată
Capacitatea lui Salt Typhoon de a rămâne nedetectat ani de zile evidențiază tacticile avansate ale grupului. Persistența lor în echipamentele mai multor furnizori sugerează o planificare meticuloasă și o operațiune bine finanțată. Spre deosebire de infractorii cibernetici oportuniști care exploatează vulnerabilitățile pentru un câștig imediat, actorii sponsorizați de stat precum Salt Typhoon urmăresc adesea acces susținut, permițându-le să adune informații, să perturbe operațiunile sau să se pregătească pentru viitoare atacuri cibernetice.
În timp ce rapoartele anterioare sugerau că Salt Typhoon a folosit și vulnerabilități mai noi, cum ar fi CVE-2023-20198 și CVE-2023-20273, Cisco nu a găsit nicio dovadă care să susțină aceste afirmații. În schimb, metoda principală de exploatare rămâne CVE-2018-0171, o defecțiune a protocolului Cisco Smart Install (SMI), combinată cu furtul de acreditări.
Acreditări furate: cheia accesului inițial
Un aspect esențial al acestei campanii este utilizarea de acreditări valide, furate, pentru a obține acces la dispozitivele din rețea. Deși metoda exactă folosită de Salt Typhoon pentru a obține aceste acreditări este încă neclară, dovezile sugerează că au căutat în mod activ detaliile de conectare stocate în sistemele compromise. Ei au monitorizat, de asemenea, traficul de rețea pentru a captura date de autentificare, țintind în special protocoalele SNMP, TACACS și RADIUS pentru a extrage chei secrete și alte date de conectare.
Odată ajuns în rețea, Salt Typhoon a folosit diverse tehnici pentru a-și extinde raza de acțiune și a asigura acces prelungit. Acestea au inclus modificarea configurațiilor dispozitivelor de rețea, crearea de conturi locale neautorizate, activarea accesului Guest Shell și configurarea accesului SSH persistent.
Tehnici de viață în afara terenului și pivotarea rețelei
Salt Typhoon a folosit tehnici de viață din afara pământului (LOTL), care implică abuzarea de instrumente și infrastructură de sistem legitime pentru a evita detectarea. Folosind dispozitive de rețea compromise ca puncte pivot, aceștia au putut sări de la o rețea de telecomunicații la alta, rămânând ascunși. Aceste dispozitive compromise au servit probabil ca relee intermediare, ajutând atacatorii fie să se deplaseze lateral către țintele lor finale, fie să stabilească rute de exfiltrare a datelor.
Pentru a evita și mai mult detectarea, Salt Typhoon a manipulat configurațiile rețelei modificând adresele interfeței loopback pe comutatoarele compromise. Acest lucru le-a permis să stabilească conexiuni SSH care au ocolit listele de control al accesului (ACL), permițând mișcare fără restricții în mediul țintă.
JumbledPath: Un instrument personalizat pentru operațiuni ascunse
Una dintre cele mai îngrijorătoare descoperiri este utilizarea de către Salt Typhoon a unui instrument personalizat numit JumbledPath, care este conceput special pentru infiltrarea furișă în rețea. Acest binar ELF bazat pe Go le permite atacatorilor să execute capturi de pachete pe dispozitive Cisco la distanță printr-o gazdă de salt controlată de actor. Instrumentul poate, de asemenea, șterge jurnalele de sistem și poate dezactiva complet înregistrarea, făcând analiza criminalistică mult mai dificilă.
Eforturile periodice de ștergere a jurnalelor reduc și mai mult vizibilitatea asupra activităților lor. Sa observat că Salt Typhoon șterge jurnalele critice, inclusiv .bash_history, auth.log, lastlog, wtmp și btmp, pentru a-și acoperi urmele și a se asigura că operațiunile lor au rămas nedetectate pentru perioade lungi de timp.
Exploatarea continuă a dispozitivelor Cisco
Dincolo de activitățile Salt Typhoon, Cisco a detectat, de asemenea, direcționarea pe scară largă a dispozitivelor sale cu funcții Smart Install (SMI) expuse, ceea ce a condus la continuarea exploatării CVE-2018-0171. Cu toate acestea, Cisco a clarificat că această activitate nu este legată de Salt Typhoon și nu pare să fie asociată cu niciun grup de amenințări cunoscut.
Cum se pot apăra organizațiile împotriva acestor atacuri
Având în vedere natura persistentă a operațiunilor Salt Typhoon, organizațiile – în special cele din sectorul telecomunicațiilor – trebuie să ia măsuri proactive pentru a-și securiza rețelele. Măsurile defensive recomandate includ:
- Dezactivarea Smart Install (SMI): Dacă nu este necesar, SMI ar trebui să fie dezactivat pentru a reduce riscul de exploatare.
- Implementarea autentificării cu mai mulți factori (MFA): acreditările furate sunt mai puțin eficiente dacă este necesar MFA pentru autentificare.
Infiltrarea cu succes a Salt Typhoon în rețelele de telecomunicații din SUA subliniază importanța vigilenței în securitatea cibernetică. Capacitatea lor de a exploata o vulnerabilitate veche de ani de zile, de a fura acreditările și de a persista nedetectate pentru perioade îndelungate demonstrează peisajul amenințărilor în evoluție. Organizațiile trebuie să acorde prioritate strategiilor de apărare proactive, inclusiv gestionarea robustă a patch-urilor, monitorizarea rețelei și controale stricte de acces, pentru a atenua riscurile prezentate de amenințările cibernetice sponsorizate de stat.