அமெரிக்க தொலைத்தொடர்பு நெட்வொர்க்குகளை குறிவைக்க உப்பு சூறாவளி CVE-2018-0171 ஐ சுரண்டுவதை சிஸ்கோ உறுதிப்படுத்துகிறது.

இதற்கு மொழிபெயர்க்கவும்:

சீன அரசால் ஆதரிக்கப்படும், 'சால்ட் டைபூன்' எனப்படும் அச்சுறுத்தல் நடிகர், CVE-2018-0171 என்ற அறியப்பட்ட பாதிப்பைப் பயன்படுத்தி அமெரிக்க தொலைத்தொடர்பு நெட்வொர்க்குகளில் வெற்றிகரமாக ஊடுருவியதை சிஸ்கோ அதிகாரப்பூர்வமாக உறுதிப்படுத்தியுள்ளது. இந்தப் பாதுகாப்பு குறைபாடு, திருடப்பட்ட உள்நுழைவு சான்றுகளின் பயன்பாட்டுடன் இணைந்து, தாக்குபவர்கள் சமரசம் செய்யப்பட்ட சூழல்களுக்கான நீண்டகால அணுகலைப் பராமரிக்க உதவியது, ஒரு நிகழ்வு மூன்று ஆண்டுகளுக்கும் மேலாக நீடித்தது.

சிஸ்கோ டாலோஸின் கூற்றுப்படி, சால்ட் டைபூனின் செயல்பாடுகள் உயர் மட்ட நுட்பம், ஒருங்கிணைப்பு மற்றும் பொறுமையை வெளிப்படுத்துகின்றன - மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல் (APT) குழுக்களின் பொதுவான பண்புகள். ஆழமான மற்றும் நிலையான கால்களை நிறுவுவதற்கு முக்கியமான உள்கட்டமைப்பில் மூலோபாய ரீதியாக ஊடுருவும் தேசிய-அரசு நடிகர்களால் ஏற்படும் தொடர்ச்சியான அபாயங்களை இந்த பிரச்சாரம் அடிக்கோடிட்டுக் காட்டுகிறது.

பொருளடக்கம்

நீண்ட கால, மிகவும் ஒருங்கிணைந்த சைபர் உளவு பிரச்சாரம்

பல ஆண்டுகளாக கண்டறியப்படாமல் இருக்கும் சால்ட் டைபூனின் திறன், குழுவின் மேம்பட்ட தந்திரோபாயங்களை எடுத்துக்காட்டுகிறது. பல விற்பனையாளர்களின் உபகரணங்களில் அவர்கள் விடாமுயற்சியுடன் இருப்பது, நுணுக்கமான திட்டமிடல் மற்றும் நன்கு நிதியளிக்கப்பட்ட செயல்பாட்டைக் குறிக்கிறது. உடனடி ஆதாயத்திற்காக பாதிப்புகளைப் பயன்படுத்தும் சந்தர்ப்பவாத சைபர் குற்றவாளிகளைப் போலல்லாமல், சால்ட் டைபூன் போன்ற அரசு ஆதரவு பெற்ற நடிகர்கள் பெரும்பாலும் நீடித்த அணுகலை நோக்கமாகக் கொண்டுள்ளனர், இது உளவுத்துறையைச் சேகரிக்க, செயல்பாடுகளை சீர்குலைக்க அல்லது எதிர்கால சைபர் தாக்குதல்களுக்குத் தயாராக அனுமதிக்கிறது.

முந்தைய அறிக்கைகள் சால்ட் டைபூன் CVE-2023-20198 மற்றும் CVE-2023-20273 போன்ற புதிய பாதிப்புகளைப் பயன்படுத்துவதாகக் கூறியிருந்தாலும், சிஸ்கோ இந்தக் கூற்றுக்களை ஆதரிக்கும் எந்த ஆதாரத்தையும் கண்டுபிடிக்கவில்லை. அதற்கு பதிலாக, முதன்மை சுரண்டல் முறை CVE-2018-0171 ஆகவே உள்ளது, இது சிஸ்கோவின் ஸ்மார்ட் இன்ஸ்டால் (SMI) நெறிமுறையில் உள்ள ஒரு குறைபாடாகும், இது நற்சான்றிதழ் திருட்டுடன் இணைக்கப்பட்டுள்ளது.

திருடப்பட்ட சான்றுகள்: ஆரம்ப அணுகலுக்கான திறவுகோல்

இந்த பிரச்சாரத்தின் ஒரு முக்கிய அம்சம், நெட்வொர்க் சாதனங்களை அணுக செல்லுபடியாகும், திருடப்பட்ட சான்றுகளைப் பயன்படுத்துவதாகும். இந்த சான்றுகளைப் பெறுவதற்கு சால்ட் டைபூன் பயன்படுத்திய சரியான முறை இன்னும் தெளிவாகத் தெரியவில்லை என்றாலும், அவர்கள் சமரசம் செய்யப்பட்ட அமைப்புகளுக்குள் சேமிக்கப்பட்ட உள்நுழைவு விவரங்களை தீவிரமாகத் தேடியதாக சான்றுகள் தெரிவிக்கின்றன. ரகசிய விசைகள் மற்றும் பிற உள்நுழைவு சான்றுகளைப் பிரித்தெடுக்க, குறிப்பாக SNMP, TACACS மற்றும் RADIUS நெறிமுறைகளை இலக்காகக் கொண்டு, அங்கீகாரத் தரவைப் பிடிக்க நெட்வொர்க் போக்குவரத்தையும் அவர்கள் கண்காணித்தனர்.

ஒரு நெட்வொர்க்கிற்குள் நுழைந்தவுடன், சால்ட் டைபூன் தங்கள் அணுகலை விரிவுபடுத்தவும் நீண்டகால அணுகலை உறுதி செய்யவும் பல்வேறு நுட்பங்களைப் பயன்படுத்தியது. நெட்வொர்க் சாதன உள்ளமைவுகளை மாற்றியமைத்தல், அங்கீகரிக்கப்படாத உள்ளூர் கணக்குகளை உருவாக்குதல், விருந்தினர் ஷெல் அணுகலை இயக்குதல் மற்றும் தொடர்ச்சியான SSH அணுகலை அமைத்தல் ஆகியவை இதில் அடங்கும்.

நிலத்திற்கு வெளியே வாழும் நுட்பங்கள் மற்றும் நெட்வொர்க் பிவோட்டிங்

சால்ட் டைபூன், நிலத்திற்கு வெளியே வாழும் (LOTL) நுட்பங்களைப் பயன்படுத்தியது, இதில் கண்டறிதலைத் தவிர்ப்பதற்காக முறையான கணினி கருவிகள் மற்றும் உள்கட்டமைப்பைத் தவறாகப் பயன்படுத்துவது அடங்கும். சமரசம் செய்யப்பட்ட நெட்வொர்க் சாதனங்களை மையப் புள்ளிகளாகப் பயன்படுத்துவதன் மூலம், அவர்கள் ஒரு தொலைத்தொடர்பு நெட்வொர்க்கிலிருந்து இன்னொரு தொலைத்தொடர்பு நெட்வொர்க்கிற்குத் தாவ முடிந்தது, அதே நேரத்தில் மறைந்திருக்கும். இந்த சமரசம் செய்யப்பட்ட சாதனங்கள் இடைநிலை ரிலேக்களாகச் செயல்பட்டிருக்கலாம், தாக்குபவர்கள் தங்கள் இறுதி இலக்குகளை நோக்கி பக்கவாட்டில் நகர அல்லது வெளிச்செல்லும் தரவு வெளியேற்ற வழிகளை நிறுவ உதவுகின்றன.

கண்டறிதலை மேலும் தவிர்க்க, சால்ட் டைபூன், சமரசம் செய்யப்பட்ட சுவிட்சுகளில் லூப்பேக் இடைமுக முகவரிகளை மாற்றுவதன் மூலம் நெட்வொர்க் உள்ளமைவுகளைக் கையாண்டது. இது அணுகல் கட்டுப்பாட்டு பட்டியல்களை (ACLs) கடந்து செல்லும் SSH இணைப்புகளை நிறுவ அனுமதித்தது, இலக்கு சூழலுக்குள் கட்டுப்பாடற்ற இயக்கத்தை வழங்கியது.

ஜம்பிள்ட்பாத்: திருட்டுத்தனமான செயல்பாடுகளுக்கான ஒரு தனிப்பயன் கருவி

மிகவும் கவலையளிக்கும் கண்டுபிடிப்புகளில் ஒன்று, Salt Typhoon, JumbledPath என்ற தனிப்பயன்-கட்டமைக்கப்பட்ட கருவியைப் பயன்படுத்துவது ஆகும், இது குறிப்பாக திருட்டுத்தனமான நெட்வொர்க் ஊடுருவலுக்காக வடிவமைக்கப்பட்டுள்ளது. இந்த Go-அடிப்படையிலான ELF பைனரி, தாக்குபவர்கள் ஒரு நடிகர்-கட்டுப்படுத்தப்பட்ட ஜம்ப் ஹோஸ்ட் வழியாக தொலைதூர Cisco சாதனங்களில் பாக்கெட் பிடிப்புகளைச் செயல்படுத்த உதவுகிறது. இந்த கருவி சிஸ்டம் பதிவுகளை அழிக்கவும், உள்நுழைவை முழுவதுமாக முடக்கவும் முடியும், இது தடயவியல் பகுப்பாய்வை கணிசமாக மிகவும் கடினமாக்குகிறது.

அவ்வப்போது பதிவுகளை அழிக்கும் முயற்சிகள் அவற்றின் செயல்பாடுகளில் தெரிவுநிலையை மேலும் குறைக்கின்றன. அவற்றின் தடங்களை மறைக்கவும், அவற்றின் செயல்பாடுகள் நீண்ட காலத்திற்கு கண்டறியப்படாமல் இருப்பதை உறுதி செய்யவும், .bash_history, auth.log, lastlog, wtmp மற்றும் btmp உள்ளிட்ட முக்கியமான பதிவுகளை நீக்குவது சால்ட் டைபூன் காணப்பட்டது.

சிஸ்கோ சாதனங்களின் தொடர்ச்சியான சுரண்டல்

சால்ட் டைபூனின் செயல்பாடுகளுக்கு அப்பால், சிஸ்கோ அதன் ஸ்மார்ட் இன்ஸ்டால் (SMI) அம்சங்களை வெளிப்படுத்தும் சாதனங்களை பரவலாக இலக்காகக் கொண்டிருப்பதைக் கண்டறிந்துள்ளது, இது CVE-2018-0171 இன் தொடர்ச்சியான சுரண்டலுக்கு வழிவகுத்தது. இருப்பினும், இந்த செயல்பாடு சால்ட் டைபூனுடன் இணைக்கப்படவில்லை என்றும், அறியப்பட்ட எந்த அச்சுறுத்தல் குழுவுடனும் தொடர்புடையதாகத் தெரியவில்லை என்றும் சிஸ்கோ தெளிவுபடுத்தியது.

இந்தத் தாக்குதல்களுக்கு எதிராக நிறுவனங்கள் எவ்வாறு தற்காத்துக் கொள்ள முடியும்

சால்ட் டைபூனின் செயல்பாடுகளின் தொடர்ச்சியான தன்மையைக் கருத்தில் கொண்டு, நிறுவனங்கள் - குறிப்பாக தொலைத்தொடர்புத் துறையில் உள்ளவை - தங்கள் நெட்வொர்க்குகளைப் பாதுகாக்க முன்னெச்சரிக்கை நடவடிக்கைகளை எடுக்க வேண்டும். பரிந்துரைக்கப்பட்ட தற்காப்பு நடவடிக்கைகளில் பின்வருவன அடங்கும்:

ஸ்மார்ட் நிறுவலை (SMI) முடக்குதல்: தேவையில்லை என்றால், சுரண்டல் அபாயத்தைக் குறைக்க SMI ஐ அணைக்க வேண்டும்.
பல காரணி அங்கீகாரத்தை செயல்படுத்துதல் (MFA): அங்கீகாரத்திற்கு MFA தேவைப்பட்டால் திருடப்பட்ட சான்றுகள் குறைவான செயல்திறன் கொண்டவை.

ஃபார்ம்வேரைத் தொடர்ந்து புதுப்பித்தல் மற்றும் பேட்சிங் பாதிப்புகள்: CVE-2018-0171 பல ஆண்டுகளாக அறியப்படுகிறது, ஆனால் பேட்ச் செய்யப்படாத அமைப்புகள் காரணமாக தாக்குபவர்கள் அதைத் தொடர்ந்து பயன்படுத்திக் கொள்கிறார்கள்.

முரண்பாடுகளுக்கான நெட்வொர்க் போக்குவரத்தை கண்காணித்தல்: நிறுவனங்கள் அங்கீகார கோரிக்கைகள், அசாதாரண SSH செயல்பாடு மற்றும் எதிர்பாராத உள்ளமைவு மாற்றங்களை உன்னிப்பாகக் கண்காணிக்க வேண்டும்.

வலுவான அணுகல் கட்டுப்பாட்டுக் கொள்கைகளை செயல்படுத்துதல்: முக்கியமான உள்கட்டமைப்பிற்கான அணுகலைக் கட்டுப்படுத்துவது, நெட்வொர்க்கிற்குள் பக்கவாட்டாக நகரும் தாக்குதலாளரின் திறனைக் கட்டுப்படுத்தலாம்.

அமெரிக்க தொலைத்தொடர்பு நெட்வொர்க்குகளில் சால்ட் டைபூனின் வெற்றிகரமான ஊடுருவல், சைபர் பாதுகாப்பில் விழிப்புணர்வின் முக்கியத்துவத்தை அடிக்கோடிட்டுக் காட்டுகிறது. பல ஆண்டுகளாகப் பாதிப்பை சுரண்டுவது, சான்றுகளைத் திருடுவது மற்றும் நீண்ட காலத்திற்கு கண்டறியப்படாமல் இருப்பது போன்ற அவற்றின் திறன், வளர்ந்து வரும் அச்சுறுத்தல் நிலப்பரப்பை நிரூபிக்கிறது. அரசு வழங்கும் சைபர் அச்சுறுத்தல்களால் ஏற்படும் அபாயங்களைக் குறைக்க, வலுவான பேட்ச் மேலாண்மை, நெட்வொர்க் கண்காணிப்பு மற்றும் கடுமையான அணுகல் கட்டுப்பாடுகள் உள்ளிட்ட முன்னெச்சரிக்கை பாதுகாப்பு உத்திகளுக்கு நிறுவனங்கள் முன்னுரிமை அளிக்க வேண்டும்.

தேடல்

பிராந்தியத்தை மாற்றவும்