Kuota e zbritjes me shumë licencë
Siguria kompjuterike Cisco konfirmon shfrytëzimin e Salt Typhoon CVE-2018-0171...

Cisco konfirmon shfrytëzimin e Salt Typhoon CVE-2018-0171 për të synuar rrjetet e telekomit të SHBA

Nga MuraSiguria kompjuterike
Përkthe në:
Shqip

Cisco ka konfirmuar zyrtarisht se aktori i kërcënimit i sponsorizuar nga shteti kinez i njohur si Salt Typhoon depërtoi me sukses në rrjetet e telekomunikacionit amerikan duke shfrytëzuar një cenueshmëri të njohur, CVE-2018-0171. Kjo e metë sigurie, e kombinuar me përdorimin e kredencialeve të vjedhura të hyrjes, u mundësoi sulmuesve të ruanin akses afatgjatë në mjedise të komprometuara, me një rast që zgjat më shumë se tre vjet.

Sipas Cisco Talos, operacionet e Salt Typhoon shfaqin një nivel të lartë të sofistikimit, koordinimit dhe durimit - tipare të përbashkëta të grupeve të avancuara të kërcënimit të vazhdueshëm (APT). Fushata nënvizon rreziqet e vazhdueshme që paraqesin aktorët e shteteve-komb, të cilët depërtojnë në mënyrë strategjike në infrastrukturën kritike për të vendosur baza të thella dhe të qëndrueshme.

Një fushatë afatgjatë, shumë e koordinuar e spiunazhit kibernetik

Aftësia e Salt Typhoon për të qëndruar e pazbuluar për vite me radhë nxjerr në pah taktikat e avancuara të grupit. Këmbëngulja e tyre në pajisjet e shumë shitësve sugjeron një planifikim të përpiktë dhe një operacion të mirëfinancuar. Ndryshe nga kriminelët kibernetikë oportunistë që shfrytëzojnë dobësitë për përfitime të menjëhershme, aktorët e sponsorizuar nga shteti si Salt Typhoon shpesh synojnë qasje të qëndrueshme, duke i lejuar ata të mbledhin inteligjencë, të ndërpresin operacionet ose të përgatiten për sulme kibernetike të ardhshme.

Ndërsa raportet e mëparshme sugjeruan se Salt Typhoon përdori gjithashtu dobësi më të reja, të tilla si CVE-2023-20198 dhe CVE-2023-20273, Cisco nuk ka gjetur asnjë provë që mbështesin këto pretendime. Në vend të kësaj, metoda kryesore e shfrytëzimit mbetet CVE-2018-0171, një defekt në protokollin Smart Install (SMI) të Cisco-s, i kombinuar me vjedhjen e kredencialeve.

Kredencialet e vjedhura: Çelësi për hyrjen fillestare

Një aspekt thelbësor i kësaj fushate është përdorimi i kredencialeve të vlefshme, të vjedhura për të fituar akses në pajisjet e rrjetit. Ndërsa metoda e saktë e përdorur Salt Typhoon për të marrë këto kredenciale është ende e paqartë, provat sugjerojnë se ata kërkuan në mënyrë aktive për detaje të ruajtura të hyrjes brenda sistemeve të komprometuara. Ata gjithashtu monitoruan trafikun e rrjetit për të kapur të dhënat e vërtetimit, duke synuar në mënyrë specifike protokollet SNMP, TACACS dhe RADIUS për të nxjerrë çelësat sekretë dhe kredencialet e tjera të hyrjes.

Pasi hyri në një rrjet, Salt Typhoon përdori teknika të ndryshme për të zgjeruar shtrirjen e tyre dhe për të siguruar akses të zgjatur. Këto përfshinin modifikimin e konfigurimeve të pajisjeve të rrjetit, krijimin e llogarive lokale të paautorizuara, aktivizimin e aksesit të Guest Shell dhe konfigurimin e aksesit të vazhdueshëm SSH.

Teknikat e jetesës jashtë tokës dhe rrotullimi i rrjetit

Salt Typhoon përdori teknikat e jetesës jashtë tokës (LOTL), të cilat përfshijnë abuzimin e mjeteve dhe infrastrukturës legjitime të sistemit për të shmangur zbulimin. Duke përdorur pajisjet e komprometuara të rrjetit si pika kryesore, ata ishin në gjendje të hidheshin nga një rrjet telekomi në tjetrin duke mbetur të fshehur. Këto pajisje të komprometuara ka të ngjarë të kenë shërbyer si reletë të ndërmjetme, duke ndihmuar sulmuesit ose të lëvizin anash drejt objektivave të tyre përfundimtarë ose të krijojnë rrugët e eksfiltrimit të të dhënave jashtë.

Për të shmangur më tej zbulimin, Salt Typhoon manipuloi konfigurimet e rrjetit duke ndryshuar adresat e ndërfaqes së kthimit në çelësat e komprometuar. Kjo i lejoi ata të krijonin lidhje SSH që anashkalonin listat e kontrollit të aksesit (ACL), duke lejuar lëvizje të pakufizuar brenda mjedisit të synuar.

JumbledPath: Një mjet i personalizuar për operacione të fshehta

Një nga zbulimet më shqetësuese është përdorimi i Salt Typhoon i një vegle të krijuar me porosi të quajtur JumbledPath, e cila është krijuar posaçërisht për infiltrim të fshehtë në rrjet. Ky binar ELF i bazuar në Go u mundëson sulmuesve të ekzekutojnë kapjen e paketave në pajisjet Cisco të largëta nëpërmjet një hosti kërcimi të kontrolluar nga aktori. Mjeti gjithashtu mund të pastrojë regjistrat e sistemit dhe të çaktivizojë plotësisht regjistrimin, duke e bërë analizën mjeko-ligjore dukshëm më të vështirë.

Përpjekjet periodike për fshirjen e regjistrave reduktojnë më tej dukshmërinë në aktivitetet e tyre. Salt Typhoon u vëzhgua duke fshirë regjistrat kritikë, duke përfshirë .bash_history, auth.log, lastlog, wtmp dhe btmp, për të mbuluar gjurmët e tyre dhe për të siguruar që operacionet e tyre të mbeten të pazbuluara për periudha të gjata.

Shfrytëzimi i vazhdueshëm i pajisjeve Cisco

Përtej aktiviteteve të Salt Typhoon, Cisco ka zbuluar gjithashtu një shënjestrim të gjerë të pajisjeve të saj me veçori të ekspozuara të Instalimit inteligjent (SMI), duke çuar në shfrytëzimin e vazhdueshëm të CVE-2018-0171. Megjithatë, Cisco sqaroi se ky aktivitet nuk është i lidhur me Salt Typhoon dhe nuk duket të jetë i lidhur me ndonjë grup të njohur kërcënimi.

Si mund të mbrohen organizatat kundër këtyre sulmeve

Duke pasur parasysh natyrën e vazhdueshme të operacioneve të Salt Typhoon, organizatat - veçanërisht ato në sektorin e telekomunikacionit - duhet të ndërmarrin hapa proaktivë për të siguruar rrjetet e tyre. Masat mbrojtëse të rekomanduara përfshijnë:

  • Çaktivizimi i instalimit inteligjent (SMI): Nëse nuk kërkohet, SMI duhet të fiket për të zbutur rrezikun e shfrytëzimit.
  • Zbatimi i vërtetimit me shumë faktorë (MFA): Kredencialet e vjedhura janë më pak efektive nëse kërkohet MFA për vërtetim.
  • Përditësimi i rregullt i firmuerit dhe dobësitë e korrigjimit: CVE-2018-0171 është i njohur prej vitesh, megjithatë sulmuesit vazhdojnë ta shfrytëzojnë atë për shkak të sistemeve të papatchuara.
  • Monitorimi i trafikut të rrjetit për anomali: Organizatat duhet të monitorojnë nga afër kërkesat për vërtetim, aktivitetin e pazakontë SSH dhe ndryshimet e papritura të konfigurimit.
  • Zbatimi i politikave të forta të kontrollit të aksesit: Kufizimi i aksesit në infrastrukturën kritike mund të kufizojë aftësinë e një sulmuesi për të lëvizur anash brenda rrjetit.

    • Infiltrimi i suksesshëm i Salt Typhoon në rrjetet e telekomit amerikan nënvizon rëndësinë e vigjilencës në sigurinë kibernetike. Aftësia e tyre për të shfrytëzuar një cenueshmëri shumëvjeçare, për të vjedhur kredencialet dhe për të qëndruar të pazbuluar për periudha të gjata, demonstron peizazhin e kërcënimit në zhvillim. Organizatat duhet t'i japin përparësi strategjive proaktive të mbrojtjes, duke përfshirë menaxhimin e fortë të arnimeve, monitorimin e rrjetit dhe kontrollet e rrepta të aksesit, për të zbutur rreziqet që vijnë nga kërcënimet kibernetike të sponsorizuara nga shteti.

    Po ngarkohet...