Kinumpirma ng Cisco ang Salt Typhoon na Pinagsasamantalahan ang CVE-2018-0171 upang I-target ang US Telecom Networks

Sa pamamagitan ng Mura sa Seguridad ng Computer

Isalin To:

Opisyal na kinumpirma ng Cisco na ang Chinese state-sponsored threat actor na kilala bilang Salt Typhoon ay matagumpay na nakalusot sa mga network ng telekomunikasyon sa US sa pamamagitan ng pagsasamantala sa isang kilalang kahinaan, CVE-2018-0171. Ang kakulangan sa seguridad na ito, na sinamahan ng paggamit ng mga ninakaw na kredensyal sa pag-log in, ay nagbigay-daan sa mga umaatake na mapanatili ang pangmatagalang access sa mga nakompromisong kapaligiran, na may isang pagkakataon na tumatagal ng higit sa tatlong taon.

Ayon sa Cisco Talos, ang mga operasyon ng Salt Typhoon ay nagpapakita ng mataas na antas ng pagiging sopistikado, koordinasyon, at pasensya—mga karaniwang katangian ng advanced persistent threat (APT) na mga grupo. Binibigyang-diin ng kampanya ang patuloy na mga panganib na dulot ng mga aktor ng bansa-estado na madiskarteng pumapasok sa mga kritikal na imprastraktura upang magtatag ng malalim at patuloy na mga foothold.

Talaan ng mga Nilalaman

Isang Pangmatagalan, Highly Coordinated Cyber Espionage Campaign

Itinatampok ng kakayahan ng Salt Typhoon na manatiling hindi natukoy sa loob ng maraming taon ang mga advanced na taktika ng grupo. Ang kanilang pagtitiyaga sa maraming kagamitan ng vendor ay nagmumungkahi ng masusing pagpaplano at isang mahusay na pinondohan na operasyon. Hindi tulad ng mga oportunistang cybercriminal na nagsasamantala sa mga kahinaan para sa agarang pakinabang, ang mga aktor na inisponsor ng estado tulad ng Salt Typhoon ay kadalasang naglalayong magkaroon ng patuloy na pag-access, na nagbibigay-daan sa kanila na mangalap ng katalinuhan, makagambala sa mga operasyon, o maghanda para sa hinaharap na mga cyberattack.

Habang ang mga nakaraang ulat ay nagmungkahi na ang Salt Typhoon ay gumamit din ng mga mas bagong kahinaan, tulad ng CVE-2023-20198 at CVE-2023-20273, ang Cisco ay walang nakitang ebidensya na sumusuporta sa mga claim na ito. Sa halip, ang pangunahing paraan ng pagsasamantala ay nananatiling CVE-2018-0171, isang depekto sa protocol ng Smart Install (SMI) ng Cisco, na sinamahan ng pagnanakaw ng kredensyal.

Mga Ninakaw na Kredensyal: Ang Susi sa Paunang Pag-access

Ang isang mahalagang aspeto ng kampanyang ito ay ang paggamit ng wasto, ninakaw na mga kredensyal upang makakuha ng access sa mga network device. Habang ang eksaktong paraan na ginamit ng Salt Typhoon upang makuha ang mga kredensyal na ito ay hindi pa rin malinaw, ang ebidensya ay nagmumungkahi na sila ay aktibong naghanap ng mga nakaimbak na detalye sa pag-log in sa loob ng mga nakompromisong system. Sinusubaybayan din nila ang trapiko ng network upang makuha ang data ng pagpapatotoo, partikular na nagta-target ng mga protocol ng SNMP, TACACS, at RADIUS upang kunin ang mga lihim na key at iba pang kredensyal sa pag-login.

Sa sandaling nasa loob ng isang network, gumamit ang Salt Typhoon ng iba't ibang mga diskarte upang mapalawak ang kanilang pag-abot at matiyak ang matagal na pag-access. Kabilang dito ang pagbabago ng mga configuration ng network device, paggawa ng mga hindi awtorisadong lokal na account, pagpapagana ng access sa Guest Shell, at pag-set up ng patuloy na pag-access sa SSH.

Mga Teknik sa Pamumuhay sa Labas ng Lupa at Pag-pivot ng Network

Ginamit ng Salt Typhoon ang mga diskarteng living-off-the-land (LOTL), na kinabibilangan ng pag-abuso sa mga lehitimong tool at imprastraktura ng system upang maiwasan ang pagtuklas. Sa pamamagitan ng paggamit ng mga nakompromisong network device bilang mga pivot point, nagawa nilang lumipat mula sa isang telecom network patungo sa isa pa habang nananatiling nakatago. Ang mga nakompromisong device na ito ay malamang na nagsilbing mga intermediate na relay, na tumutulong sa mga umaatake na lumipat sa gilid patungo sa kanilang mga ultimate target o magtatag ng mga papalabas na ruta ng pag-exfiltration ng data.

Upang higit na makaiwas sa pag-detect, minanipula ng Salt Typhoon ang mga configuration ng network sa pamamagitan ng pagpapalit ng mga address ng interface ng loopback sa mga nakompromisong switch. Pinahintulutan silang magtatag ng mga koneksyon sa SSH na lumampas sa mga listahan ng kontrol sa pag-access (mga ACL), na nagbibigay ng hindi pinaghihigpitang paggalaw sa loob ng target na kapaligiran.

JumbledPath: Isang Custom na Tool para sa Stealthy Operations

Isa sa mga pinaka-nakatuklas na pagtuklas ay ang paggamit ng Salt Typhoon ng custom-built na tool na pinangalanang JumbledPath, na partikular na idinisenyo para sa palihim na pagpasok sa network. Ang Go-based na ELF binary na ito ay nagbibigay-daan sa mga attacker na magsagawa ng mga packet capture sa mga malalayong Cisco device sa pamamagitan ng isang jump host na kontrolado ng aktor. Maaari ding i-clear ng tool ang mga log ng system at ganap na i-disable ang pag-log, na ginagawang mas mahirap ang forensic analysis.

Ang mga pana-panahong pagsusumikap sa pagbubura ng log ay higit na nagpapababa ng visibility sa kanilang mga aktibidad. Naobserbahang tinatanggal ng Salt Typhoon ang mga kritikal na log, kabilang ang .bash_history, auth.log, lastlog, wtmp, at btmp, upang masakop ang kanilang mga track at matiyak na ang kanilang mga operasyon ay nananatiling hindi nade-detect sa mahabang panahon.

Patuloy na Pagsasamantala sa Mga Cisco Device

Higit pa sa mga aktibidad ng Salt Typhoon, natukoy din ng Cisco ang malawakang pag-target sa mga device nito na may nakalantad na mga feature ng Smart Install (SMI), na humahantong sa patuloy na pagsasamantala sa CVE-2018-0171. Gayunpaman, nilinaw ng Cisco na ang aktibidad na ito ay hindi nauugnay sa Salt Typhoon at mukhang hindi nauugnay sa anumang kilalang grupo ng pagbabanta.

Paano Makapagtanggol ang Mga Organisasyon Laban sa Mga Pag-atakeng Ito

Dahil sa patuloy na katangian ng mga operasyon ng Salt Typhoon, ang mga organisasyon—lalo na ang mga nasa sektor ng telekomunikasyon—ay dapat gumawa ng mga proactive na hakbang upang ma-secure ang kanilang mga network. Ang mga inirerekomendang hakbang sa pagtatanggol ay kinabibilangan ng:

Hindi pagpapagana ng Smart Install (SMI): Kung hindi kinakailangan, dapat i-off ang SMI para mabawasan ang panganib ng pagsasamantala.
Pagpapatupad ng Multi-Factor Authentication (MFA): Hindi gaanong epektibo ang mga ninakaw na kredensyal kung kinakailangan ang MFA para sa pagpapatotoo.

Regular na Pag-update ng Firmware at Pagta-patch ng mga Vulnerabilities: Ang CVE-2018-0171 ay kilala sa loob ng maraming taon, ngunit patuloy itong sinasamantala ng mga umaatake dahil sa mga hindi naka-patch na system.

Pagsubaybay sa Trapiko ng Network para sa mga Anomalya: Dapat na masusing subaybayan ng mga organisasyon ang mga kahilingan sa pagpapatotoo, hindi pangkaraniwang aktibidad ng SSH, at hindi inaasahang mga pagbabago sa configuration.

Pagpapatupad ng Malakas na Mga Patakaran sa Pagkontrol sa Pag-access: Ang paghihigpit sa pag-access sa kritikal na imprastraktura ay maaaring limitahan ang kakayahan ng isang umaatake na lumipat sa gilid sa loob ng network.

Ang matagumpay na paglusot ng Salt Typhoon sa mga network ng telecom sa US ay binibigyang-diin ang kahalagahan ng pagbabantay sa cybersecurity. Ang kanilang kakayahang pagsamantalahan ang isang taong gulang na kahinaan, magnakaw ng mga kredensyal, at magpatuloy nang hindi natukoy sa mahabang panahon ay nagpapakita ng umuusbong na tanawin ng pagbabanta. Dapat unahin ng mga organisasyon ang mga proactive na diskarte sa pagtatanggol, kabilang ang matatag na pamamahala ng patch, pagsubaybay sa network, at mahigpit na kontrol sa pag-access, upang mabawasan ang mga panganib na dulot ng mga banta sa cyber na inisponsor ng estado.

Ang Payment Processor ng EnigmaSoft na Digital River GmbH na Pag-file para sa Pagkalugi ay Hindi Nakakaapekto sa Proteksyon ng Anti-Malware ng Mga Customer ng SpyHunter

Paghahanap

Baguhin ang Rehiyon