Cisco підтверджує використання соляного тайфуну CVE-2018-0171 для націлювання на телекомунікаційні мережі США
Компанія Cisco офіційно підтвердила, що китайський державний агент, відомий як Salt Typhoon, успішно проник у телекомунікаційні мережі США, використовуючи відому вразливість CVE-2018-0171. Цей недолік безпеки в поєднанні з використанням викрадених облікових даних дозволив зловмисникам підтримувати тривалий доступ до скомпрометованих середовищ, причому один випадок тривав понад три роки.
За словами Cisco Talos, операції Salt Typhoon демонструють високий рівень витонченості, координації та терпіння — загальні риси передових груп постійної загрози (APT). Кампанія підкреслює постійні ризики, пов’язані з діячами національних держав, які стратегічно проникають у критичну інфраструктуру, щоб створити глибокі та стійкі точки опори.
Зміст
Довгострокова, добре скоординована кампанія кібершпигунства
Здатність Salt Typhoon роками залишатися непоміченою свідчить про передову тактику групи. Їх наполегливість на обладнанні багатьох постачальників свідчить про ретельне планування та добре фінансування операції. На відміну від опортуністичних кіберзлочинців, які використовують вразливі місця для миттєвої вигоди, суб’єкти, які спонсоруються державою, як-от Salt Typhoon, часто прагнуть отримати постійний доступ, що дозволяє їм збирати розвідувальні дані, переривати операції або готуватися до майбутніх кібератак.
У той час як попередні звіти припускали, що Salt Typhoon також використовував нові вразливості, такі як CVE-2023-20198 і CVE-2023-20273, Cisco не знайшла доказів, що підтверджують ці твердження. Натомість основним методом використання залишається CVE-2018-0171, недолік у протоколі Cisco Smart Install (SMI) у поєднанні з крадіжкою облікових даних.
Викрадені облікові дані: ключ до початкового доступу
Важливим аспектом цієї кампанії є використання дійсних викрадених облікових даних для отримання доступу до мережевих пристроїв. Хоча точний метод, який Salt Typhoon використовував для отримання цих облікових даних, досі невідомий, дані свідчать про те, що вони активно шукали збережені дані для входу в скомпрометовані системи. Вони також відстежували мережевий трафік, щоб отримати дані автентифікації, особливо націлюючись на протоколи SNMP, TACACS і RADIUS для отримання секретних ключів та інших облікових даних для входу.
Потрапивши в мережу, Salt Typhoon застосував різні методи, щоб розширити охоплення та забезпечити тривалий доступ. Це включало зміну конфігурацій мережевих пристроїв, створення неавторизованих локальних облікових записів, увімкнення доступу до гостьової оболонки та налаштування постійного доступу SSH.
Техніки живого життя поза межами та мережевий поворот
Salt Typhoon використовував методи життя поза землею (LOTL), які передбачають зловживання законними системними інструментами та інфраструктурою, щоб уникнути виявлення. Використовуючи скомпрометовані мережеві пристрої як опорні точки, вони могли переходити з однієї телекомунікаційної мережі в іншу, залишаючись прихованими. Ці скомпрометовані пристрої, ймовірно, слугували проміжними ретрансляторами, допомагаючи зловмисникам або рухатися вбік до їхніх кінцевих цілей, або встановлювати вихідні маршрути викрадання даних.
Щоб уникнути виявлення, Salt Typhoon маніпулював мережевими конфігураціями, змінюючи адреси петлевого інтерфейсу на скомпрометованих комутаторах. Це дозволило їм встановлювати з’єднання SSH, які обходили списки контролю доступу (ACL), забезпечуючи необмежений рух у цільовому середовищі.
JumbledPath: спеціальний інструмент для прихованих операцій
Одним із найбільш тривожних відкриттів є використання Salt Typhoon спеціального інструменту під назвою JumbledPath, який спеціально розроблений для прихованого проникнення в мережу. Цей двійковий файл ELF на основі Go дозволяє зловмисникам виконувати захоплення пакетів на віддалених пристроях Cisco через керований актором хост переходу. Інструмент також може очистити системні журнали та повністю вимкнути журналювання, що значно ускладнює криміналістичний аналіз.
Періодичні спроби видалення журналів ще більше зменшують видимість їхньої діяльності. Було помічено, що Salt Typhoon видаляє критичні журнали, зокрема .bash_history, auth.log, lastlog, wtmp і btmp, щоб замести сліди та гарантувати, що їхні операції залишаються непоміченими протягом тривалого часу.
Постійна експлуатація пристроїв Cisco
Окрім діяльності Salt Typhoon, Cisco також виявила широке націлювання на свої пристрої з відкритими функціями Smart Install (SMI), що призвело до подальшого використання CVE-2018-0171. Однак Cisco уточнила, що ця діяльність не пов’язана з Salt Typhoon і не пов’язана з жодною відомою групою загроз.
Як організації можуть захиститися від цих атак
Враховуючи постійний характер діяльності Salt Typhoon, організації, особливо ті, що працюють у телекомунікаційному секторі, повинні вживати активних заходів для захисту своїх мереж. Рекомендовані захисні заходи включають:
- Вимкнення Smart Install (SMI): якщо не потрібно, SMI слід вимкнути, щоб зменшити ризик використання.
- Застосування багатофакторної автентифікації (MFA): викрадені облікові дані менш ефективні, якщо для автентифікації потрібна MFA.
Успішне проникнення Salt Typhoon у телекомунікаційні мережі США підкреслює важливість пильності в кібербезпеці. Їхня здатність використовувати багаторічну вразливість, викрадати облікові дані та залишатися непоміченими протягом тривалого часу демонструє розвиток загроз. Організації повинні надавати пріоритет стратегіям проактивного захисту, включаючи надійне керування виправленнями, моніторинг мережі та суворий контроль доступу, щоб зменшити ризики, створені державними кіберзагрозами.