Računalniška varnost Cisco potrjuje, da je Salt Typhoon Exploited...

Cisco potrjuje, da je Salt Typhoon Exploited CVE-2018-0171 namenjen tarči ameriških telekomunikacijskih omrežij

Cisco je uradno potrdil, da se je kitajski akter grožnje, ki ga sponzorira država, znan kot Salt Typhoon, uspešno infiltriral v ameriška telekomunikacijska omrežja z izkoriščanjem znane ranljivosti CVE-2018-0171. Ta varnostna napaka je v kombinaciji z uporabo ukradenih poverilnic za prijavo napadalcem omogočila dolgoročni dostop do ogroženih okolij, pri čemer je en primer trajal več kot tri leta.

Po navedbah Cisco Talos operacije Salt Typhoon izkazujejo visoko stopnjo prefinjenosti, koordinacije in potrpežljivosti – skupne lastnosti naprednih skupin za nenehne grožnje (APT). Kampanja poudarja nenehna tveganja, ki jih predstavljajo nacionalni državni akterji, ki se strateško infiltrirajo v kritično infrastrukturo, da bi vzpostavili globoke in obstojne opore.

Dolgoročna, visoko usklajena kampanja kibernetskega vohunjenja

Sposobnost Salt Typhoona, da leta ostane neodkrit, poudarja napredno taktiko skupine. Njihova vztrajnost pri opremi različnih prodajalcev kaže na natančno načrtovanje in dobro financirano delovanje. Za razliko od oportunističnih kiberkriminalcev, ki izkoriščajo ranljivosti za takojšnjo korist, si akterji, ki jih sponzorira država, kot je Salt Typhoon, pogosto prizadevajo za trajen dostop, kar jim omogoča zbiranje obveščevalnih podatkov, motenje operacij ali pripravo na prihodnje kibernetske napade.

Medtem ko so prejšnja poročila nakazovala, da je Salt Typhoon izkoristil tudi novejše ranljivosti, kot sta CVE-2023-20198 in CVE-2023-20273, Cisco ni našel nobenih dokazov, ki bi podpirali te trditve. Namesto tega primarna metoda izkoriščanja ostaja CVE-2018-0171, napaka v Ciscovem protokolu Smart Install (SMI), v kombinaciji s krajo poverilnic.

Ukradene poverilnice: ključ do začetnega dostopa

Bistveni vidik te kampanje je uporaba veljavnih, ukradenih poverilnic za dostop do omrežnih naprav. Medtem ko natančna metoda, ki jo je Salt Typhoon uporabil za pridobitev teh poverilnic, še vedno ni jasna, dokazi kažejo, da so aktivno iskali shranjene podatke za prijavo v ogroženih sistemih. Prav tako so spremljali omrežni promet, da bi zajeli podatke za preverjanje pristnosti, posebej ciljali na protokole SNMP, TACACS in RADIUS za pridobivanje tajnih ključev in drugih poverilnic za prijavo.

Ko so bili v omrežju, je Salt Typhoon uporabil različne tehnike za razširitev svojega dosega in zagotovitev dolgotrajnega dostopa. Ti vključujejo spreminjanje konfiguracij omrežnih naprav, ustvarjanje nepooblaščenih lokalnih računov, omogočanje dostopa gostujoče lupine in nastavitev trajnega dostopa SSH.

Tehnike življenja zunaj zemlje in vrtenje omrežja

Salt Typhoon je izkoristil tehnike življenja zunaj zemlje (LOTL), ki vključujejo zlorabo zakonitih sistemskih orodij in infrastrukture, da bi se izognili odkrivanju. Z uporabo ogroženih omrežnih naprav kot središčnih točk so lahko skočili iz enega telekomunikacijskega omrežja v drugo, pri tem pa ostali skriti. Te ogrožene naprave so verjetno služile kot vmesni releji, ki so napadalcem pomagali pri premikanju bočno proti njihovim končnim tarčam ali vzpostavitvi izhodnih poti za izločanje podatkov.

Da bi se še dodatno izognil odkrivanju, je Salt Typhoon manipuliral z omrežnimi konfiguracijami s spreminjanjem naslovov vmesnikov povratne zanke na ogroženih stikalih. To jim je omogočilo vzpostavitev povezav SSH, ki so zaobšle sezname za nadzor dostopa (ACL) in omogočile neomejeno gibanje znotraj ciljnega okolja.

JumbledPath: orodje po meri za prikrite operacije

Eno najbolj zaskrbljujočih odkritij je, da Salt Typhoon uporablja po meri zgrajeno orodje, imenovano JumbledPath, ki je zasnovano posebej za prikrito infiltracijo v omrežje. Ta dvojiška datoteka ELF, ki temelji na Go, omogoča napadalcem, da izvajajo zajemanje paketov na oddaljenih napravah Cisco prek preskočnega gostitelja, ki ga nadzoruje igralec. Orodje lahko tudi izbriše sistemske dnevnike in popolnoma onemogoči beleženje, kar znatno oteži forenzično analizo.

Periodična prizadevanja za brisanje dnevnikov dodatno zmanjšajo vpogled v njihove dejavnosti. Opazili so, da Salt Typhoon briše kritične dnevnike, vključno z .bash_history, auth.log, lastlog, wtmp in btmp, da prikrije sledi in zagotovi, da njihove operacije ostanejo neodkrite dlje časa.

Stalno izkoriščanje naprav Cisco

Poleg dejavnosti Salt Typhoon je Cisco zaznal tudi razširjeno ciljanje svojih naprav z izpostavljenimi funkcijami pametne namestitve (SMI), kar vodi do nadaljnjega izkoriščanja CVE-2018-0171. Vendar je Cisco pojasnil, da ta dejavnost ni povezana s Salt Typhoon in ni videti, da bi bila povezana z nobeno znano skupino groženj.

Kako se lahko organizacije ubranijo pred temi napadi

Glede na vztrajno naravo delovanja Salt Typhoon morajo organizacije – zlasti tiste v telekomunikacijskem sektorju – sprejeti proaktivne ukrepe za zaščito svojih omrežij. Priporočeni obrambni ukrepi vključujejo:

  • Onemogočanje pametne namestitve (SMI): če ni potrebno, je treba SMI izklopiti, da zmanjšate tveganje zlorabe.
  • Uveljavljanje večfaktorske avtentikacije (MFA): ukradene poverilnice so manj učinkovite, če je za avtentikacijo potrebna MFA.
  • Redno posodabljanje vdelane programske opreme in popravki ranljivosti: CVE-2018-0171 je znan že leta, vendar ga napadalci še naprej izkoriščajo zaradi nepopravljenih sistemov.
  • Spremljanje omrežnega prometa za nepravilnosti: Organizacije bi morale pozorno spremljati zahteve za preverjanje pristnosti, nenavadno dejavnost SSH in nepričakovane spremembe konfiguracije.
  • Implementacija strogih politik nadzora dostopa: Omejitev dostopa do kritične infrastrukture lahko omeji napadalčevo sposobnost bočnega premikanja znotraj omrežja.
  • Uspešna infiltracija Salt Typhoona v ameriška telekomunikacijska omrežja poudarja pomen budnosti pri kibernetski varnosti. Njihova sposobnost, da izkoristijo dolgoletno ranljivost, ukradejo poverilnice in ostanejo neodkriti daljša obdobja, kaže na razvijajočo se pokrajino groženj. Organizacije morajo dati prednost proaktivnim obrambnim strategijam, vključno z robustnim upravljanjem popravkov, nadzorom omrežja in strogim nadzorom dostopa, da ublažijo tveganja, ki jih predstavljajo kibernetske grožnje, ki jih sponzorira država.

    Nalaganje...