Cisco подтверждает, что Salt Typhoon использовал уязвимость CVE-2018-0171 для атак на телекоммуникационные сети США
Cisco официально подтвердила, что спонсируемый государством китайский злоумышленник, известный как Salt Typhoon, успешно проник в телекоммуникационные сети США, используя известную уязвимость CVE-2018-0171. Этот недостаток безопасности в сочетании с использованием украденных учетных данных позволил злоумышленникам поддерживать долгосрочный доступ к скомпрометированным средам, причем один случай длился более трех лет.
По данным Cisco Talos, операции Salt Typhoon демонстрируют высокий уровень сложности, координации и терпения — общие черты групп передовых постоянных угроз (APT). Кампания подчеркивает текущие риски, создаваемые субъектами национальных государств, которые стратегически проникают в критическую инфраструктуру, чтобы создать глубокие и постоянные плацдармы.
Оглавление
Долгосрочная, тщательно скоординированная кампания кибершпионажа
Способность Salt Typhoon оставаться незамеченными в течение многих лет подчеркивает продвинутую тактику группы. Их настойчивость в отношении оборудования разных поставщиков предполагает тщательное планирование и хорошо финансируемую операцию. В отличие от предприимчивых киберпреступников, которые используют уязвимости для немедленной выгоды, спонсируемые государством субъекты, такие как Salt Typhoon, часто стремятся к постоянному доступу, что позволяет им собирать разведданные, срывать операции или готовиться к будущим кибератакам.
Хотя предыдущие отчеты предполагали, что Salt Typhoon также использовал новые уязвимости, такие как CVE-2023-20198 и CVE-2023-20273, Cisco не нашла никаких доказательств, подтверждающих эти заявления. Вместо этого основным методом эксплуатации остается CVE-2018-0171, уязвимость в протоколе Cisco Smart Install (SMI), в сочетании с кражей учетных данных.
Украденные учетные данные: ключ к первоначальному доступу
Существенным аспектом этой кампании является использование действительных, украденных учетных данных для получения доступа к сетевым устройствам. Хотя точный метод, который Salt Typhoon использовал для получения этих учетных данных, до сих пор неясен, данные свидетельствуют о том, что они активно искали сохраненные данные для входа в скомпрометированные системы. Они также отслеживали сетевой трафик для захвата данных аутентификации, в частности, нацеливаясь на протоколы SNMP, TACACS и RADIUS для извлечения секретных ключей и других учетных данных для входа.
Оказавшись внутри сети, Salt Typhoon применил различные методы для расширения своего охвата и обеспечения длительного доступа. Они включали изменение конфигураций сетевых устройств, создание неавторизованных локальных учетных записей, включение гостевого доступа Shell и настройку постоянного доступа SSH.
Методы жизни за пределами земли и сетевой поворот
Salt Typhoon использовала методы living-off-the-land (LOTL), которые включают в себя злоупотребление законными системными инструментами и инфраструктурой для избежания обнаружения. Используя скомпрометированные сетевые устройства в качестве опорных точек, они могли переходить из одной телекоммуникационной сети в другую, оставаясь скрытыми. Эти скомпрометированные устройства, вероятно, служили промежуточными ретрансляторами, помогая злоумышленникам либо продвигаться вбок к своим конечным целям, либо устанавливать исходящие маршруты эксфильтрации данных.
Чтобы еще больше избежать обнаружения, Salt Typhoon манипулировал сетевыми конфигурациями, изменяя адреса интерфейсов обратной связи на скомпрометированных коммутаторах. Это позволяло им устанавливать SSH-соединения, которые обходили списки контроля доступа (ACL), предоставляя неограниченное перемещение в целевой среде.
JumbledPath: специальный инструмент для скрытных операций
Одно из самых тревожных открытий — использование Salt Typhoon специально разработанного инструмента JumbledPath, специально разработанного для скрытого проникновения в сеть. Этот двоичный файл ELF на основе Go позволяет злоумышленникам выполнять захват пакетов на удаленных устройствах Cisco через управляемый актором хост перехода. Инструмент также может очищать системные журналы и полностью отключать ведение журналов, что значительно затрудняет криминалистический анализ.
Периодические попытки стирания журналов еще больше снижают видимость их деятельности. Было замечено, что Salt Typhoon удалял критические журналы, включая .bash_history, auth.log, lastlog, wtmp и btmp, чтобы замести следы и гарантировать, что их операции останутся незамеченными в течение длительных периодов времени.
Продолжающаяся эксплуатация устройств Cisco
Помимо деятельности Salt Typhoon, Cisco также обнаружила широко распространенное нацеливание на свои устройства с открытыми функциями Smart Install (SMI), что привело к продолжению эксплуатации CVE-2018-0171. Однако Cisco пояснила, что эта деятельность не связана с Salt Typhoon и, по-видимому, не связана ни с одной известной группой угроз.
Как организации могут защититься от этих атак
Учитывая постоянный характер деятельности Salt Typhoon, организации, особенно в телекоммуникационном секторе, должны предпринять упреждающие шаги для защиты своих сетей. Рекомендуемые защитные меры включают:
- Отключение Smart Install (SMI): Если SMI не требуется, его следует отключить, чтобы снизить риск эксплуатации.
- Внедрение многофакторной аутентификации (MFA): украденные учетные данные менее эффективны, если для аутентификации требуется MFA.
Успешное проникновение Salt Typhoon в телекоммуникационные сети США подчеркивает важность бдительности в кибербезопасности. Их способность эксплуатировать многолетнюю уязвимость, красть учетные данные и оставаться незамеченными в течение длительного времени демонстрирует меняющийся ландшафт угроз. Организации должны отдавать приоритет стратегиям проактивной защиты, включая надежное управление исправлениями, мониторинг сети и строгий контроль доступа, чтобы снизить риски, связанные с киберугрозами, спонсируемыми государством.