Cisco ยืนยันว่า Salt Typhoon ใช้ประโยชน์จาก CVE-2018-0171 เพื่อโจมตีเครือข่ายโทรคมนาคมของสหรัฐฯ

Cisco ได้ยืนยันอย่างเป็นทางการแล้วว่า Salt Typhoon ซึ่งเป็นภัยคุกคามที่ได้รับการสนับสนุนจากรัฐบาลจีนสามารถแทรกซึมเครือข่ายโทรคมนาคมของสหรัฐฯ ได้สำเร็จโดยอาศัยช่องโหว่ที่ทราบกันดีอยู่แล้วอย่าง CVE-2018-0171 ช่องโหว่ด้านความปลอดภัยนี้เมื่อรวมกับการใช้ข้อมูลรับรองการเข้าสู่ระบบที่ขโมยมา ทำให้ผู้โจมตีสามารถเข้าถึงสภาพแวดล้อมที่ถูกบุกรุกได้ในระยะยาว โดยมีกรณีหนึ่งที่ใช้เวลานานกว่า 3 ปี

ตามรายงานของ Cisco Talos การปฏิบัติการโจมตี Salt Typhoon แสดงให้เห็นถึงความซับซ้อน การประสานงาน และความอดทนในระดับสูง ซึ่งเป็นลักษณะทั่วไปของกลุ่มภัยคุกคามขั้นสูงที่ต่อเนื่อง (APT) แคมเปญนี้เน้นย้ำถึงความเสี่ยงที่เกิดขึ้นอย่างต่อเนื่องจากผู้มีส่วนได้ส่วนเสียของรัฐชาติที่แทรกซึมโครงสร้างพื้นฐานที่สำคัญอย่างมีกลยุทธ์เพื่อสร้างฐานที่มั่นที่แน่นหนาและต่อเนื่อง

แคมเปญจารกรรมทางไซเบอร์ที่มีการประสานงานกันอย่างสูงในระยะยาว

ความสามารถของ Salt Typhoon ที่จะ ไม่ถูกตรวจพบเป็นเวลาหลายปีนั้น แสดงให้เห็นถึงกลยุทธ์ขั้นสูงของกลุ่ม การที่ Salt Typhoon พยายามอย่างต่อเนื่องในอุปกรณ์ของผู้ผลิตหลายรายนั้นแสดงให้เห็นถึงการวางแผนที่พิถีพิถันและการปฏิบัติการที่มีเงินทุนเพียงพอ ไม่เหมือนกับอาชญากรไซเบอร์ที่ฉวยโอกาสซึ่งใช้ประโยชน์จากช่องโหว่เพื่อแสวงหาผลประโยชน์ทันที ผู้กระทำความผิดที่ได้รับการสนับสนุนจากรัฐ เช่น Salt Typhoon มักมุ่งเป้าไปที่การเข้าถึงข้อมูลอย่างต่อเนื่อง ซึ่งช่วยให้พวกเขาสามารถรวบรวมข่าวกรอง ขัดขวางการปฏิบัติการ หรือเตรียมพร้อมสำหรับการโจมตีทางไซเบอร์ในอนาคต

แม้ว่ารายงานก่อนหน้านี้จะระบุว่า Salt Typhoon ยังใช้ประโยชน์จากช่องโหว่ใหม่ๆ เช่น CVE-2023-20198 และ CVE-2023-20273 แต่ Cisco ไม่พบหลักฐานที่สนับสนุนการอ้างสิทธิ์เหล่านี้ อย่างไรก็ตาม วิธีการหลักในการใช้ประโยชน์ยังคงเป็น CVE-2018-0171 ซึ่งเป็นข้อบกพร่องในโปรโตคอล Smart Install (SMI) ของ Cisco ร่วมกับการขโมยข้อมูลประจำตัว

ข้อมูลประจำตัวที่ถูกขโมย: กุญแจสู่การเข้าถึงเบื้องต้น

ประเด็นสำคัญประการหนึ่งของแคมเปญนี้คือการใช้ข้อมูลประจำตัวที่ถูกขโมยมาเพื่อเข้าถึงอุปกรณ์เครือข่าย แม้ว่าวิธีการที่แน่นอนที่ Salt Typhoon ใช้เพื่อรับข้อมูลประจำตัวเหล่านี้ยังคงไม่ชัดเจน แต่หลักฐานชี้ให้เห็นว่าพวกเขาค้นหาข้อมูลการเข้าสู่ระบบที่จัดเก็บไว้ภายในระบบที่ถูกบุกรุกอย่างจริงจัง พวกเขายังตรวจสอบการรับส่งข้อมูลบนเครือข่ายเพื่อรวบรวมข้อมูลการรับรองความถูกต้อง โดยเฉพาะอย่างยิ่งการกำหนดเป้าหมายไปที่โปรโตคอล SNMP, TACACS และ RADIUS เพื่อดึงคีย์ลับและข้อมูลรับรองการเข้าสู่ระบบอื่นๆ

เมื่อเข้าไปในเครือข่ายแล้ว Salt Typhoon จะใช้เทคนิคต่างๆ เพื่อขยายขอบเขตและรับรองการเข้าถึงที่ยาวนานขึ้น ซึ่งรวมถึงการแก้ไขการกำหนดค่าอุปกรณ์เครือข่าย การสร้างบัญชีท้องถิ่นที่ไม่ได้รับอนุญาต การเปิดใช้งานการเข้าถึง Guest Shell และการตั้งค่าการเข้าถึง SSH แบบต่อเนื่อง

เทคนิคการใช้ชีวิตนอกสถานที่และการเปลี่ยนแปลงเครือข่าย

Salt Typhoon ใช้เทคนิค Living-off-the-land (LOTL) ซึ่งเกี่ยวข้องกับการใช้เครื่องมือระบบและโครงสร้างพื้นฐานที่ถูกต้องเพื่อหลีกเลี่ยงการตรวจจับ โดยการใช้อุปกรณ์เครือข่ายที่ถูกบุกรุกเป็นจุดหมุน พวกมันจึงสามารถกระโดดจากเครือข่ายโทรคมนาคมหนึ่งไปยังอีกเครือข่ายหนึ่งได้ในขณะที่ยังคงซ่อนตัวอยู่ อุปกรณ์ที่ถูกบุกรุกเหล่านี้น่าจะทำหน้าที่เป็นตัวส่งสัญญาณกลาง ช่วยให้ผู้โจมตีเคลื่อนที่ไปทางด้านข้างเพื่อไปยังเป้าหมายปลายทางหรือสร้างเส้นทางการขโมยข้อมูลขาออก

เพื่อหลีกเลี่ยงการตรวจจับเพิ่มเติม Salt Typhoon ได้ปรับเปลี่ยนการกำหนดค่าเครือข่ายโดยการเปลี่ยนแปลงที่อยู่อินเทอร์เฟซลูปแบ็กบนสวิตช์ที่ถูกบุกรุก ซึ่งทำให้สามารถสร้างการเชื่อมต่อ SSH ที่ข้ามรายการควบคุมการเข้าถึง (ACL) ได้ ทำให้สามารถเคลื่อนไหวภายในสภาพแวดล้อมเป้าหมายได้โดยไม่ถูกจำกัด

JumbledPath: เครื่องมือที่กำหนดเองสำหรับการปฏิบัติการแบบซ่อนเร้น

การค้นพบที่น่ากังวลที่สุดอย่างหนึ่งคือการที่ Salt Typhoon ได้ใช้เครื่องมือที่สร้างขึ้นเองชื่อว่า JumbledPath ซึ่งออกแบบมาโดยเฉพาะสำหรับการแทรกซึมเครือข่ายอย่างลับๆ ไบนารี ELF ที่ใช้ Go นี้ทำให้ผู้โจมตีสามารถดำเนินการจับแพ็กเก็ตบนอุปกรณ์ Cisco จากระยะไกลผ่านจัมพ์โฮสต์ที่ควบคุมโดยแอคเตอร์ เครื่องมือนี้ยังสามารถล้างบันทึกระบบและปิดการใช้งานการบันทึกทั้งหมด ทำให้การวิเคราะห์ทางนิติวิทยาศาสตร์ยากขึ้นอย่างมาก

ความพยายามในการลบบันทึกเป็นระยะทำให้การมองเห็นกิจกรรมของพวกเขาลดน้อยลงไปอีก Salt Typhoon ถูกตรวจพบว่าลบบันทึกที่สำคัญ รวมถึง .bash_history, auth.log, lastlog, wtmp และ btmp เพื่อปกปิดร่องรอยและให้แน่ใจว่าการดำเนินงานของพวกเขาจะไม่ถูกตรวจพบเป็นระยะเวลานาน

การใช้ประโยชน์อย่างต่อเนื่องของอุปกรณ์ Cisco

นอกเหนือจากกิจกรรมของ Salt Typhoon แล้ว Cisco ยังตรวจพบการโจมตีอุปกรณ์ที่มีฟีเจอร์ Smart Install (SMI) ที่ถูกเปิดเผยอย่างแพร่หลาย ซึ่งทำให้ยังคงใช้ช่องโหว่ CVE-2018-0171 ต่อไป อย่างไรก็ตาม Cisco ชี้แจงว่ากิจกรรมนี้ไม่มีส่วนเกี่ยวข้องกับ Salt Typhoon และดูเหมือนจะไม่เกี่ยวข้องกับกลุ่มภัยคุกคามที่ทราบใดๆ

องค์กรต่างๆ สามารถป้องกันการโจมตีเหล่านี้ได้อย่างไร

เนื่องจากพายุไต้ฝุ่นซอลต์มีลักษณะการทำงานที่ต่อเนื่อง องค์กรต่างๆ โดยเฉพาะในภาคโทรคมนาคม จะต้องดำเนินการเชิงรุกเพื่อรักษาความปลอดภัยเครือข่ายของตน มาตรการป้องกันที่แนะนำ ได้แก่:

• การปิดใช้งานการติดตั้งแบบอัจฉริยะ (SMI): หากไม่จำเป็น ควรปิดการใช้งาน SMI เพื่อลดความเสี่ยงในการถูกใช้ประโยชน์
• การบังคับใช้การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA): ข้อมูลประจำตัวที่ถูกขโมยจะมีประสิทธิภาพน้อยลงหากต้องใช้ MFA ในการตรวจสอบสิทธิ์

การแทรกซึมเครือข่ายโทรคมนาคมของสหรัฐฯ ที่ประสบความสำเร็จของ Salt Typhoon เน้นย้ำถึงความสำคัญของการเฝ้าระวังด้านความปลอดภัยทางไซเบอร์ ความสามารถในการใช้ประโยชน์จากช่องโหว่ที่มีมาหลายปี ขโมยข้อมูลประจำตัว และคงอยู่โดยไม่ถูกตรวจพบเป็นเวลานาน แสดงให้เห็นถึงภูมิทัศน์ของภัยคุกคามที่เปลี่ยนแปลงไป องค์กรต่างๆ ต้องให้ความสำคัญกับกลยุทธ์การป้องกันเชิงรุก ซึ่งรวมถึงการจัดการแพตช์ที่แข็งแกร่ง การตรวจสอบเครือข่าย และการควบคุมการเข้าถึงที่เข้มงวด เพื่อลดความเสี่ยงที่เกิดจากภัยคุกคามทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐ