US టెలికాం నెట్‌వర్క్‌లను లక్ష్యంగా చేసుకోవడానికి సాల్ట్ టైఫూన్ ఎక్స్‌ప్లోయిటెడ్ CVE-2018-0171ని సిస్కో నిర్ధారించింది.

చైనా ప్రభుత్వం స్పాన్సర్ చేసిన సాల్ట్ టైఫూన్ అనే బెదిరింపు సంస్థ CVE-2018-0171 అనే దుర్బలత్వాన్ని ఉపయోగించుకుని US టెలికమ్యూనికేషన్ నెట్‌వర్క్‌లలో విజయవంతంగా చొరబడిందని సిస్కో అధికారికంగా ధృవీకరించింది. ఈ భద్రతా లోపం, దొంగిలించబడిన లాగిన్ ఆధారాల వాడకంతో కలిపి, దాడి చేసేవారు రాజీపడిన వాతావరణాలకు దీర్ఘకాలిక ప్రాప్యతను కొనసాగించడానికి వీలు కల్పించింది, ఒక కేసు మూడు సంవత్సరాల కంటే ఎక్కువ కాలం కొనసాగింది.

సిస్కో టాలోస్ ప్రకారం, సాల్ట్ టైఫూన్ కార్యకలాపాలు అధిక స్థాయి అధునాతనత, సమన్వయం మరియు సహనాన్ని ప్రదర్శిస్తాయి - అధునాతన నిరంతర ముప్పు (APT) సమూహాల సాధారణ లక్షణాలు. లోతైన మరియు నిరంతర స్థావరాలను ఏర్పరచుకోవడానికి కీలకమైన మౌలిక సదుపాయాలలోకి వ్యూహాత్మకంగా చొరబడే జాతీయ-రాష్ట్ర నటులు ఎదుర్కొంటున్న కొనసాగుతున్న నష్టాలను ఈ ప్రచారం నొక్కి చెబుతుంది.

దీర్ఘకాలిక, అత్యంత సమన్వయంతో కూడిన సైబర్ గూఢచర్య ప్రచారం

సాల్ట్ టైఫూన్ సంవత్సరాల తరబడి గుర్తించబడకుండా ఉండగల సామర్థ్యం ఆ సమూహం యొక్క అధునాతన వ్యూహాలను హైలైట్ చేస్తుంది. బహుళ విక్రేతల పరికరాలలో వారి పట్టుదల ఖచ్చితమైన ప్రణాళిక మరియు బాగా నిధులతో కూడిన ఆపరేషన్‌ను సూచిస్తుంది. తక్షణ లాభం కోసం దుర్బలత్వాలను ఉపయోగించుకునే అవకాశవాద సైబర్ నేరస్థుల మాదిరిగా కాకుండా, సాల్ట్ టైఫూన్ వంటి రాష్ట్ర-ప్రాయోజిత నటులు తరచుగా నిరంతర ప్రాప్యత కోసం లక్ష్యంగా పెట్టుకుంటారు, తద్వారా వారు నిఘా సేకరించడానికి, కార్యకలాపాలకు అంతరాయం కలిగించడానికి లేదా భవిష్యత్ సైబర్ దాడులకు సిద్ధం కావడానికి వీలు కల్పిస్తారు.

మునుపటి నివేదికలు సాల్ట్ టైఫూన్ CVE-2023-20198 మరియు CVE-2023-20273 వంటి కొత్త దుర్బలత్వాలను కూడా ఉపయోగించుకున్నాయని సూచించినప్పటికీ, Cisco ఈ వాదనలకు మద్దతు ఇచ్చే ఎటువంటి ఆధారాలను కనుగొనలేదు. బదులుగా, దోపిడీకి ప్రాథమిక పద్ధతి CVE-2018-0171గా ఉంది, ఇది Cisco యొక్క స్మార్ట్ ఇన్‌స్టాల్ (SMI) ప్రోటోకాల్‌లోని లోపం, ఇది ఆధారాల దొంగతనంతో కలిపి ఉంది.

దొంగిలించబడిన ఆధారాలు: ప్రారంభ యాక్సెస్‌కు కీ

ఈ ప్రచారంలో ముఖ్యమైన అంశం ఏమిటంటే, నెట్‌వర్క్ పరికరాలకు ప్రాప్యత పొందడానికి చెల్లుబాటు అయ్యే, దొంగిలించబడిన ఆధారాలను ఉపయోగించడం. ఈ ఆధారాలను పొందడానికి సాల్ట్ టైఫూన్ ఉపయోగించిన ఖచ్చితమైన పద్ధతి ఇప్పటికీ అస్పష్టంగా ఉన్నప్పటికీ, రాజీపడిన వ్యవస్థలలో నిల్వ చేయబడిన లాగిన్ వివరాల కోసం వారు చురుకుగా శోధించారని ఆధారాలు సూచిస్తున్నాయి. రహస్య కీలు మరియు ఇతర లాగిన్ ఆధారాలను సంగ్రహించడానికి ప్రత్యేకంగా SNMP, TACACS మరియు RADIUS ప్రోటోకాల్‌లను లక్ష్యంగా చేసుకుని ప్రామాణీకరణ డేటాను సంగ్రహించడానికి వారు నెట్‌వర్క్ ట్రాఫిక్‌ను కూడా పర్యవేక్షించారు.

నెట్‌వర్క్‌లోకి ప్రవేశించిన తర్వాత, సాల్ట్ టైఫూన్ వారి పరిధిని విస్తరించడానికి మరియు దీర్ఘకాలిక యాక్సెస్‌ను నిర్ధారించడానికి వివిధ పద్ధతులను ఉపయోగించింది. వీటిలో నెట్‌వర్క్ పరికర కాన్ఫిగరేషన్‌లను సవరించడం, అనధికార స్థానిక ఖాతాలను సృష్టించడం, గెస్ట్ షెల్ యాక్సెస్‌ను ప్రారంభించడం మరియు నిరంతర SSH యాక్సెస్‌ను సెటప్ చేయడం వంటివి ఉన్నాయి.

భూమికి దూరంగా జీవించే పద్ధతులు మరియు నెట్‌వర్క్ పివోటింగ్

సాల్ట్ టైఫూన్ లివింగ్-ఆఫ్-ది-ల్యాండ్ (LOTL) పద్ధతులను ఉపయోగించుకుంది, వీటిలో గుర్తింపును నివారించడానికి చట్టబద్ధమైన సిస్టమ్ సాధనాలు మరియు మౌలిక సదుపాయాలను దుర్వినియోగం చేయడం ఉంటుంది. రాజీపడిన నెట్‌వర్క్ పరికరాలను పివట్ పాయింట్లుగా ఉపయోగించడం ద్వారా, వారు ఒక టెలికాం నెట్‌వర్క్ నుండి మరొక టెలికాం నెట్‌వర్క్‌కు దూకగలిగారు, దాగి ఉండిపోయారు. ఈ రాజీపడిన పరికరాలు ఇంటర్మీడియట్ రిలేలుగా పనిచేస్తాయి, దాడి చేసేవారు వారి అంతిమ లక్ష్యాల వైపు పార్శ్వంగా వెళ్లడానికి లేదా అవుట్‌బౌండ్ డేటా ఎక్స్‌ఫిల్ట్రేషన్ మార్గాలను ఏర్పాటు చేయడానికి సహాయపడతాయి.

గుర్తింపును మరింత తప్పించుకోవడానికి, సాల్ట్ టైఫూన్ రాజీపడిన స్విచ్‌లలో లూప్‌బ్యాక్ ఇంటర్‌ఫేస్ చిరునామాలను మార్చడం ద్వారా నెట్‌వర్క్ కాన్ఫిగరేషన్‌లను మార్చింది. ఇది లక్ష్య వాతావరణంలో అపరిమిత కదలికను మంజూరు చేస్తూ, యాక్సెస్ కంట్రోల్ జాబితాలను (ACLలు) దాటవేసే SSH కనెక్షన్‌లను ఏర్పాటు చేయడానికి వారిని అనుమతించింది.

జంబుల్డ్‌పాత్: రహస్య కార్యకలాపాల కోసం ఒక కస్టమ్ సాధనం

అత్యంత ఆందోళనకరమైన ఆవిష్కరణలలో ఒకటి సాల్ట్ టైఫూన్ జంబుల్డ్‌పాత్ అనే కస్టమ్-బిల్ట్ టూల్‌ను ఉపయోగించడం, ఇది ప్రత్యేకంగా దొంగిలించే నెట్‌వర్క్ ఇన్‌ఫిల్ట్రేషన్ కోసం రూపొందించబడింది. ఈ గో-ఆధారిత ELF బైనరీ దాడి చేసేవారికి యాక్టర్-నియంత్రిత జంప్ హోస్ట్ ద్వారా రిమోట్ సిస్కో పరికరాల్లో ప్యాకెట్ క్యాప్చర్‌లను అమలు చేయడానికి వీలు కల్పిస్తుంది. ఈ సాధనం సిస్టమ్ లాగ్‌లను క్లియర్ చేయగలదు మరియు లాగింగ్‌ను పూర్తిగా నిలిపివేయగలదు, ఇది ఫోరెన్సిక్ విశ్లేషణను గణనీయంగా కష్టతరం చేస్తుంది.

కాలానుగుణంగా లాగ్‌లను తొలగించే ప్రయత్నాలు వారి కార్యకలాపాలలో దృశ్యమానతను మరింత తగ్గిస్తాయి. సాల్ట్ టైఫూన్ వారి ట్రాక్‌లను కవర్ చేయడానికి మరియు వారి కార్యకలాపాలు ఎక్కువ కాలం గుర్తించబడకుండా ఉండేలా చూసుకోవడానికి .bash_history, auth.log, lastlog, wtmp మరియు btmp వంటి క్లిష్టమైన లాగ్‌లను తొలగించడం గమనించబడింది.

సిస్కో పరికరాల నిరంతర దోపిడీ

సాల్ట్ టైఫూన్ కార్యకలాపాలతో పాటు, Cisco తన స్మార్ట్ ఇన్‌స్టాల్ (SMI) ఫీచర్లతో కూడిన పరికరాలను విస్తృతంగా లక్ష్యంగా చేసుకుంటున్నట్లు గుర్తించింది, దీని వలన CVE-2018-0171 నిరంతరం దోపిడీకి గురైంది. అయితే, ఈ కార్యాచరణ సాల్ట్ టైఫూన్‌తో ముడిపడి లేదని మరియు ఏదైనా తెలిసిన ముప్పు సమూహంతో సంబంధం కలిగి ఉన్నట్లు కనిపించడం లేదని Cisco స్పష్టం చేసింది.

ఈ దాడుల నుండి సంస్థలు ఎలా రక్షించుకోగలవు

సాల్ట్ టైఫూన్ కార్యకలాపాల నిరంతర స్వభావాన్ని దృష్టిలో ఉంచుకుని, సంస్థలు - ముఖ్యంగా టెలికమ్యూనికేషన్ రంగంలో ఉన్నవి - వాటి నెట్‌వర్క్‌లను సురక్షితంగా ఉంచడానికి ముందస్తు చర్యలు తీసుకోవాలి. సిఫార్సు చేయబడిన రక్షణ చర్యలు:

• స్మార్ట్ ఇన్‌స్టాల్ (SMI)ని నిలిపివేయడం: అవసరం లేకపోతే, దోపిడీ ప్రమాదాన్ని తగ్గించడానికి SMIని ఆపివేయాలి.
• బహుళ-కారకాల ప్రామాణీకరణ (MFA)ను అమలు చేయడం: ప్రామాణీకరణ కోసం MFA అవసరమైతే దొంగిలించబడిన ఆధారాలు తక్కువ ప్రభావవంతంగా ఉంటాయి.

సాల్ట్ టైఫూన్ US టెలికాం నెట్‌వర్క్‌లలో విజయవంతంగా చొరబడటం సైబర్ భద్రతలో అప్రమత్తత యొక్క ప్రాముఖ్యతను నొక్కి చెబుతుంది. సంవత్సరాల నాటి దుర్బలత్వాన్ని ఉపయోగించుకోవడం, ఆధారాలను దొంగిలించడం మరియు ఎక్కువ కాలం గుర్తించబడకుండా ఉండటం వంటి వాటి సామర్థ్యం అభివృద్ధి చెందుతున్న ముప్పు ప్రకృతి దృశ్యాన్ని ప్రదర్శిస్తుంది. రాష్ట్ర-ప్రాయోజిత సైబర్ బెదిరింపుల వల్ల కలిగే నష్టాలను తగ్గించడానికి సంస్థలు బలమైన ప్యాచ్ నిర్వహణ, నెట్‌వర్క్ పర్యవేక్షణ మరియు కఠినమైన యాక్సెస్ నియంత్రణలతో సహా చురుకైన రక్షణ వ్యూహాలకు ప్రాధాన్యత ఇవ్వాలి.