Цисцо потврдио да је ЦВЕ-2018-0171 експлоатисано сланом тајфуном за циљање америчких телекомуникационих мрежа
Цисцо је званично потврдио да се актер претњи коју спонзорише кинеска држава, познат као Салт Типхоон, успешно инфилтрирао у америчке телекомуникационе мреже користећи познату рањивост, ЦВЕ-2018-0171. Ова безбедносна грешка, у комбинацији са употребом украдених акредитива за пријаву, омогућила је нападачима да задрже дугорочан приступ угроженим окружењима, при чему је један случај трајао више од три године.
Према Цисцо Талос-у, операције Салт Типхоон-а показују висок ниво софистицираности, координације и стрпљења – заједничке особине група напредне персистентне претње (АПТ). Кампања наглашава текуће ризике које представљају актери националних држава који се стратешки инфилтрирају у критичну инфраструктуру како би успоставили дубока и упорна упоришта.
Преглед садржаја
Дугорочна, високо координирана кампања сајбер шпијунаже
Способност Салт Типхоон-а да годинама остане неоткривен наглашава напредну тактику групе. Њихова упорност у опреми више добављача сугерише пажљиво планирање и добро финансирану операцију. За разлику од опортунистичких сајбер криминалаца који искоришћавају рањивости за тренутну добит, актери које спонзорише држава као што је Салт Типхоон често имају за циљ стални приступ, омогућавајући им да прикупљају обавештајне податке, ометају операције или се припремају за будуће сајбер нападе.
Иако су претходни извештаји сугерисали да је Салт Типхоон такође користио новије рањивости, као што су ЦВЕ-2023-20198 и ЦВЕ-2023-20273, Цисцо није пронашао доказе који подржавају ове тврдње. Уместо тога, примарни метод експлоатације остаје ЦВЕ-2018-0171, грешка у Цисцо-овом протоколу Смарт Инсталл (СМИ), комбинована са крађом акредитива.
Украдени акредитиви: кључ за почетни приступ
Суштински аспект ове кампање је коришћење важећих, украдених акредитива за добијање приступа мрежним уређајима. Иако је тачан метод који је Салт Типхоон користио за добијање ових акредитива још увек нејасан, докази сугеришу да су активно тражили ускладиштене податке за пријаву у компромитованим системима. Такође су надгледали мрежни саобраћај да би ухватили податке за аутентификацију, посебно циљајући СНМП, ТАЦАЦС и РАДИУС протоколе за издвајање тајних кључева и других акредитива за пријаву.
Једном у мрежи, Салт Типхоон је користио различите технике да прошири свој домет и обезбеди продужени приступ. То укључује измену конфигурације мрежних уређаја, креирање неовлашћених локалних налога, омогућавање приступа љусци за госте и подешавање трајног ССХ приступа.
Технике живота ван земље и окретање мреже
Салт Типхоон је користио технике живота ван земље (ЛОТЛ), које укључују злоупотребу легитимних системских алата и инфраструктуре како би се избегло откривање. Користећи компромитоване мрежне уређаје као централне тачке, могли су да скачу са једне телеком мреже на другу док су остали скривени. Ови компромитовани уређаји су вероватно служили као посредни релеји, помажући нападачима да се крећу бочно према својим крајњим циљевима или да успоставе руте за ексфилтрацију излазних података.
Да би даље избегао откривање, Салт Типхоон је манипулисао мрежним конфигурацијама мењајући адресе интерфејса петље на компромитованим прекидачима. Ово им је омогућило да успоставе ССХ везе које су заобишле листе контроле приступа (АЦЛ), омогућавајући неограничено кретање унутар циљног окружења.
ЈумбледПатх: прилагођени алат за скривене операције
Једно од најзабрињавајућих открића је употреба Салт Типхоона прилагођене алатке под називом ЈумбледПатх, која је посебно дизајнирана за прикривену инфилтрацију мреже. Ова ЕЛФ бинарна датотека заснована на Го-у омогућава нападачима да изврше снимање пакета на удаљеним Цисцо уређајима преко јумп хоста који контролише актер. Алат такође може да очисти системске евиденције и потпуно онемогући евидентирање, што чини форензичку анализу знатно тежом.
Периодични напори за брисање дневника додатно смањују видљивост њихових активности. Уочено је да Салт Типхоон брише критичне евиденције, укључујући .басх_хистори, аутх.лог, ластлог, втмп и бтмп, како би покрио своје трагове и осигурао да њихове операције остају неоткривене током дужег периода.
Текућа експлоатација Цисцо уређаја
Осим активности Салт Типхоон-а, Цисцо је такође открио широко распрострањено циљање својих уређаја са изложеним функцијама Смарт Инсталл (СМИ), што је довело до континуиране експлоатације ЦВЕ-2018-0171. Међутим, Цисцо је појаснио да ова активност није повезана са Салт Типхоон-ом и изгледа да није повезана ни са једном познатом групом претњи.
Како се организације могу бранити од ових напада
С обзиром на упорну природу операција Салт Типхоон-а, организације – посебно оне у сектору телекомуникација – морају предузети проактивне кораке да обезбеде своје мреже. Препоручене мере одбране укључују:
- Онемогућавање Смарт Инсталл (СМИ): Ако није потребно, СМИ би требало да буде искључен да би се умањио ризик од експлоатације.
- Примена вишефакторске аутентификације (МФА): Украдени акредитиви су мање ефикасни ако је МФА потребан за аутентификацију.
Успешна инфилтрација Салт Типхоон-а у америчке телеком мреже наглашава важност будности у сајбер безбедности. Њихова способност да искористе рањивост стару годину дана, украду акредитиве и истрају неоткривени у дужем временском периоду, показује развој претње. Организације морају дати приоритет проактивним одбрамбеним стратегијама, укључујући робусно управљање закрпама, праћење мреже и строгу контролу приступа, како би ублажиле ризике које представљају сајбер претње које спонзорише држава.