Cisco, Salt Typhoon'un ABD Telekom Ağlarını Hedef Almak İçin CVE-2018-0171'i Kullandığını Doğruladı
Cisco, Salt Typhoon olarak bilinen Çin devlet destekli tehdit aktörünün, bilinen bir güvenlik açığı olan CVE-2018-0171'i kullanarak ABD telekomünikasyon ağlarına başarıyla sızdığını resmen doğruladı. Bu güvenlik açığı, çalınan oturum açma kimlik bilgilerinin kullanımıyla birleştiğinde, saldırganların tehlikeye atılmış ortamlara uzun vadeli erişimini sürdürmesini sağladı ve bir örnek üç yıldan uzun sürdü.
Cisco Talos'a göre Salt Typhoon'un operasyonları , gelişmiş kalıcı tehdit (APT) gruplarının ortak özellikleri olan yüksek düzeyde karmaşıklık, koordinasyon ve sabır sergiliyor. Kampanya, kritik altyapıya stratejik olarak sızarak derin ve kalıcı dayanaklar kuran ulus-devlet aktörlerinin oluşturduğu devam eden risklerin altını çiziyor.
İçindekiler
Uzun Vadeli, Son Derece Koordineli Bir Siber Casusluk Kampanyası
Salt Typhoon'un yıllarca tespit edilememe yeteneği, grubun gelişmiş taktiklerini vurgular. Birden fazla satıcının ekipmanında kalıcılıkları, titiz planlama ve iyi finanse edilmiş bir operasyon olduğunu gösterir. Anında kazanç elde etmek için zaafları istismar eden fırsatçı siber suçluların aksine, Salt Typhoon gibi devlet destekli aktörler genellikle istihbarat toplamalarına, operasyonları aksatmalarına veya gelecekteki siber saldırılara hazırlanmalarına olanak tanıyan sürdürülebilir erişimi hedefler.
Önceki raporlar Salt Typhoon'un CVE-2023-20198 ve CVE-2023-20273 gibi daha yeni güvenlik açıklarından da yararlandığını öne sürse de Cisco bu iddiaları destekleyen hiçbir kanıt bulamadı. Bunun yerine, birincil istismar yöntemi, Cisco'nun Smart Install (SMI) protokolündeki bir kusur olan CVE-2018-0171'in kimlik bilgisi hırsızlığıyla birleştirilmesi olarak kalmaya devam ediyor.
Çalınan Kimlik Bilgileri: İlk Erişimin Anahtarı
Bu kampanyanın temel bir yönü, ağ cihazlarına erişim sağlamak için geçerli, çalınmış kimlik bilgilerinin kullanılmasıdır. Salt Typhoon'un bu kimlik bilgilerini elde etmek için kullandığı kesin yöntem henüz belirsiz olsa da, kanıtlar, tehlikeye atılmış sistemlerde depolanan oturum açma ayrıntılarını aktif olarak aradıklarını gösteriyor. Ayrıca, kimlik doğrulama verilerini yakalamak için ağ trafiğini izlediler ve gizli anahtarları ve diğer oturum açma kimlik bilgilerini çıkarmak için özellikle SNMP, TACACS ve RADIUS protokollerini hedef aldılar.
Salt Typhoon, bir ağın içine girdiğinde, erişimlerini genişletmek ve uzun süreli erişimi garantilemek için çeşitli teknikler kullandı. Bunlar arasında ağ cihazı yapılandırmalarını değiştirmek, yetkisiz yerel hesaplar oluşturmak, Misafir Kabuk erişimini etkinleştirmek ve kalıcı SSH erişimi kurmak yer alıyordu.
Topraktan Yaşama Teknikleri ve Ağ Pivotlaması
Salt Typhoon, tespit edilmekten kaçınmak için meşru sistem araçlarını ve altyapısını kötüye kullanmayı içeren living-off-the-land (LOTL) tekniklerini kullandı. Tehlikeye atılmış ağ cihazlarını pivot noktaları olarak kullanarak, gizli kalırken bir telekomünikasyon ağından diğerine atlayabildiler. Bu tehlikeye atılmış cihazlar muhtemelen ara röleler olarak hizmet etti ve saldırganların nihai hedeflerine doğru yanlamasına hareket etmelerine veya dışarı giden veri sızdırma rotaları oluşturmalarına yardımcı oldu.
Salt Typhoon, tespit edilmekten daha fazla kaçınmak için, tehlikeye atılmış anahtarlardaki geri döngü arayüz adreslerini değiştirerek ağ yapılandırmalarını manipüle etti. Bu, erişim kontrol listelerini (ACL'ler) atlayan ve hedef ortamda kısıtlanmamış hareket hakkı veren SSH bağlantıları kurmalarına olanak sağladı.
JumbledPath: Gizli Operasyonlar İçin Özel Bir Araç
En endişe verici keşiflerden biri, Salt Typhoon'un gizli ağ sızmaları için özel olarak tasarlanmış JumbledPath adlı özel yapım bir aracı kullanmasıdır. Bu Go tabanlı ELF ikilisi, saldırganların aktör tarafından kontrol edilen bir atlama ana bilgisayarı aracılığıyla uzak Cisco aygıtlarında paket yakalamaları yürütmesini sağlar. Araç ayrıca sistem günlüklerini temizleyebilir ve günlük kaydını tamamen devre dışı bırakabilir, bu da adli analizi önemli ölçüde daha zor hale getirir.
Periyodik günlük silme çabaları, faaliyetlerine ilişkin görünürlüğü daha da azaltır. Salt Typhoon'un izlerini örtmek ve operasyonlarının uzun süreler boyunca tespit edilmemesini sağlamak için .bash_history, auth.log, lastlog, wtmp ve btmp dahil olmak üzere kritik günlükleri sildiği gözlemlendi.
Cisco Cihazlarının Devam Eden Kullanımı
Salt Typhoon'un faaliyetlerinin ötesinde Cisco, cihazlarının açık Akıllı Kurulum (SMI) özellikleriyle yaygın bir şekilde hedef alındığını tespit etti ve bu da CVE-2018-0171'in sürekli olarak istismar edilmesine yol açtı. Ancak Cisco, bu faaliyetin Salt Typhoon ile bağlantılı olmadığını ve bilinen herhangi bir tehdit grubuyla ilişkili görünmediğini açıkladı.
Kuruluşlar Bu Saldırılara Karşı Nasıl Savunma Yapabilir?
Salt Typhoon'un operasyonlarının sürekli doğası göz önüne alındığında, kuruluşlar (özellikle telekomünikasyon sektöründekiler) ağlarını güvence altına almak için proaktif adımlar atmalıdır. Önerilen savunma önlemleri şunları içerir:
- Akıllı Yüklemeyi (SMI) Devre Dışı Bırakma: Gerekmiyorsa, istismar riskini azaltmak için SMI kapatılmalıdır.
- Çok Faktörlü Kimlik Doğrulamanın (MFA) Uygulanması: Kimlik doğrulama için MFA gerekiyorsa, çalınan kimlik bilgilerinin etkisi daha az olur.
Salt Typhoon'un ABD telekomünikasyon ağlarına başarılı bir şekilde sızması, siber güvenlikte dikkatli olmanın önemini vurgular. Yıllardır var olan bir güvenlik açığını istismar etme, kimlik bilgilerini çalma ve uzun süreler boyunca tespit edilmeden kalma yetenekleri, gelişen tehdit ortamını gösterir. Kuruluşlar, devlet destekli siber tehditlerin oluşturduğu riskleri azaltmak için sağlam yama yönetimi, ağ izleme ve sıkı erişim kontrolleri gibi proaktif savunma stratejilerine öncelik vermelidir.