Cisco potvrdzuje, že Salt Typhoon Exploited CVE-2018-0171 sa zameria na americké telekomunikačné siete
Cisco oficiálne potvrdilo, že čínsky štátom podporovaný aktér hrozby známy ako Salt Typhoon úspešne infiltroval americké telekomunikačné siete využitím známej zraniteľnosti CVE-2018-0171. Táto bezpečnostná chyba v kombinácii s použitím ukradnutých prihlasovacích údajov umožnila útočníkom zachovať si dlhodobý prístup do kompromitovaných prostredí, pričom jedna inštancia trvala viac ako tri roky.
Podľa Cisco Talos operácie Salt Typhoon vykazujú vysokú úroveň sofistikovanosti, koordinácie a trpezlivosti, čo sú spoločné črty skupín pokročilých perzistentných hrozieb (APT). Kampaň podčiarkuje pretrvávajúce riziká, ktoré predstavujú aktéri národných štátov, ktorí strategicky prenikajú do kritickej infraštruktúry, aby vytvorili hlboké a trvalé oporné body.
Obsah
Dlhodobá, vysoko koordinovaná kyberšpionážna kampaň
Schopnosť Salt Typhoon zostať roky neodhalená zvýrazňuje pokročilú taktiku skupiny. Ich pretrvávanie naprieč vybavením viacerých predajcov naznačuje starostlivé plánovanie a dobre financovanú prevádzku. Na rozdiel od oportunistických kyberzločincov, ktorí využívajú zraniteľné miesta na okamžitý zisk, štátom sponzorovaní aktéri ako Salt Typhoon sa často zameriavajú na trvalý prístup, ktorý im umožňuje zhromažďovať spravodajské informácie, narúšať operácie alebo sa pripravovať na budúce kybernetické útoky.
Zatiaľ čo predchádzajúce správy naznačovali, že Salt Typhoon využíval aj novšie zraniteľnosti, ako napríklad CVE-2023-20198 a CVE-2023-20273, Cisco nenašlo žiadne dôkazy podporujúce tieto tvrdenia. Namiesto toho zostáva primárnou metódou využívania CVE-2018-0171, chyba v protokole Cisco Smart Install (SMI), v kombinácii s krádežou poverení.
Ukradnuté poverenia: kľúč k prvému prístupu
Základným aspektom tejto kampane je použitie platných, ukradnutých prihlasovacích údajov na získanie prístupu k sieťovým zariadeniam. Zatiaľ čo presná metóda, ktorú spoločnosť Salt Typhoon použila na získanie týchto poverení, je stále nejasná, dôkazy naznačujú, že aktívne hľadali uložené prihlasovacie údaje v kompromitovaných systémoch. Monitorovali aj sieťovú prevádzku, aby zachytili autentifikačné údaje, konkrétne sa zamerali na protokoly SNMP, TACACS a RADIUS na extrahovanie tajných kľúčov a iných prihlasovacích údajov.
Keď sa Salt Typhoon dostal do siete, použil rôzne techniky na rozšírenie svojho dosahu a zabezpečenie predĺženého prístupu. Tie zahŕňali úpravu konfigurácií sieťových zariadení, vytváranie neoprávnených lokálnych účtov, povolenie prístupu Guest Shell a nastavenie trvalého prístupu SSH.
Techniky života mimo krajiny a pivotovanie siete
Salt Typhoon využíval techniky živobytia mimo územia (LOTL), ktoré zahŕňajú zneužívanie legitímnych systémových nástrojov a infraštruktúry, aby sa zabránilo odhaleniu. Použitím kompromitovaných sieťových zariadení ako otočných bodov boli schopní preskočiť z jednej telekomunikačnej siete do druhej, pričom zostali skryté. Tieto kompromitované zariadenia pravdepodobne slúžili ako prechodné relé, ktoré útočníkom pomáhali pohybovať sa buď laterálne smerom k ich konečným cieľom, alebo vytvárať odchádzajúce trasy na exfiltráciu údajov.
Aby sa ďalej vyhol detekcii, Salt Typhoon manipuloval s konfiguráciami siete zmenou adries rozhrania spätnej slučky na napadnutých prepínačoch. To im umožnilo vytvoriť pripojenia SSH, ktoré obchádzali zoznamy riadenia prístupu (ACL), čím sa zabezpečil neobmedzený pohyb v cieľovom prostredí.
JumbledPath: Vlastný nástroj pre tajné operácie
Jedným z najviac znepokojujúcich objavov je použitie nástroja Salt Typhoon na mieru s názvom JumbledPath, ktorý je špeciálne navrhnutý na nenápadnú infiltráciu do siete. Tento binárny súbor ELF založený na Go umožňuje útočníkom vykonávať zachytávanie paketov na vzdialených zariadeniach Cisco prostredníctvom hostiteľa riadeného skokom. Nástroj môže tiež vymazať systémové protokoly a úplne zakázať protokolovanie, čo výrazne sťažuje forenznú analýzu.
Pravidelné snahy o vymazanie denníka ďalej znižujú viditeľnosť ich aktivít. Salt Typhoon bol pozorovaný pri vymazávaní kritických protokolov, vrátane .bash_history, auth.log, lastlog, wtmp a btmp, aby zakryl stopy a zabezpečil, že ich operácie zostali nezistené po dlhú dobu.
Pokračujúce využívanie zariadení Cisco
Okrem aktivít spoločnosti Salt Typhoon zistilo Cisco aj rozsiahle zacielenie svojich zariadení s odhalenými funkciami Smart Install (SMI), čo vedie k pokračujúcemu využívaniu CVE-2018-0171. Cisco však objasnilo, že táto aktivita nesúvisí so Salt Typhoon a nezdá sa, že by bola spojená so žiadnou známou skupinou hrozieb.
Ako sa môžu organizácie brániť týmto útokom
Vzhľadom na pretrvávajúci charakter operácií spoločnosti Salt Typhoon musia organizácie – najmä tie v sektore telekomunikácií – podniknúť proaktívne kroky na zabezpečenie svojich sietí. Odporúčané obranné opatrenia zahŕňajú:
- Zakázanie inteligentnej inštalácie (SMI): Ak sa nevyžaduje, SMI by sa malo vypnúť, aby sa znížilo riziko zneužitia.
- Vynútenie viacfaktorového overenia (MFA): Ukradnuté poverenia sú menej účinné, ak sa na overenie vyžaduje MFA.
Úspešná infiltrácia spoločnosti Salt Typhoon do amerických telekomunikačných sietí podčiarkuje dôležitosť ostražitosti v oblasti kybernetickej bezpečnosti. Ich schopnosť zneužiť roky starú zraniteľnosť, ukradnúť poverenia a zotrvať nezistené po dlhú dobu demonštruje vyvíjajúce sa prostredie hrozieb. Organizácie musia uprednostňovať proaktívne obranné stratégie vrátane robustnej správy opráv, monitorovania siete a prísnych kontrol prístupu, aby zmiernili riziká, ktoré predstavujú štátom sponzorované kybernetické hrozby.