Cisco xác nhận Salt Typhoon đã khai thác CVE-2018-0171 để nhắm vào mạng viễn thông Hoa Kỳ

Cisco đã chính thức xác nhận rằng tác nhân đe dọa do nhà nước Trung Quốc tài trợ có tên là Salt Typhoon đã xâm nhập thành công vào mạng lưới viễn thông của Hoa Kỳ bằng cách khai thác lỗ hổng đã biết, CVE-2018-0171. Lỗ hổng bảo mật này, kết hợp với việc sử dụng thông tin đăng nhập bị đánh cắp, cho phép kẻ tấn công duy trì quyền truy cập lâu dài vào các môi trường bị xâm phạm, với một trường hợp kéo dài hơn ba năm.

Theo Cisco Talos, hoạt động của Salt Typhoon thể hiện mức độ tinh vi, phối hợp và kiên nhẫn cao—những đặc điểm chung của các nhóm đe dọa dai dẳng nâng cao (APT). Chiến dịch này nhấn mạnh những rủi ro đang diễn ra do các tác nhân quốc gia xâm nhập chiến lược vào cơ sở hạ tầng quan trọng để thiết lập chỗ đứng sâu và dai dẳng.

Một chiến dịch gián điệp mạng dài hạn, được phối hợp chặt chẽ

Khả năng không bị phát hiện trong nhiều năm của Salt Typhoon làm nổi bật các chiến thuật tiên tiến của nhóm này. Sự tồn tại dai dẳng của chúng trên nhiều thiết bị của nhiều nhà cung cấp cho thấy sự lập kế hoạch tỉ mỉ và hoạt động được tài trợ tốt. Không giống như tội phạm mạng cơ hội khai thác lỗ hổng để kiếm lợi ngay lập tức, những kẻ được nhà nước bảo trợ như Salt Typhoon thường nhắm đến mục tiêu truy cập lâu dài, cho phép chúng thu thập thông tin tình báo, phá vỡ hoạt động hoặc chuẩn bị cho các cuộc tấn công mạng trong tương lai.

Trong khi các báo cáo trước đây cho rằng Salt Typhoon cũng khai thác các lỗ hổng mới hơn, chẳng hạn như CVE-2023-20198 và CVE-2023-20273, Cisco không tìm thấy bằng chứng nào hỗ trợ cho các tuyên bố này. Thay vào đó, phương pháp khai thác chính vẫn là CVE-2018-0171, một lỗ hổng trong giao thức Smart Install (SMI) của Cisco, kết hợp với hành vi đánh cắp thông tin xác thực.

Thông tin đăng nhập bị đánh cắp: Chìa khóa để truy cập ban đầu

Một khía cạnh thiết yếu của chiến dịch này là sử dụng thông tin xác thực hợp lệ, bị đánh cắp để truy cập vào các thiết bị mạng. Mặc dù phương pháp chính xác mà Salt Typhoon sử dụng để lấy được những thông tin xác thực này vẫn chưa rõ ràng, nhưng bằng chứng cho thấy họ đã chủ động tìm kiếm thông tin đăng nhập được lưu trữ trong các hệ thống bị xâm phạm. Họ cũng theo dõi lưu lượng mạng để thu thập dữ liệu xác thực, đặc biệt nhắm vào các giao thức SNMP, TACACS và RADIUS để trích xuất khóa bí mật và các thông tin xác thực đăng nhập khác.

Khi đã vào bên trong mạng, Salt Typhoon sử dụng nhiều kỹ thuật khác nhau để mở rộng phạm vi tiếp cận và đảm bảo quyền truy cập kéo dài. Bao gồm sửa đổi cấu hình thiết bị mạng, tạo tài khoản cục bộ trái phép, cho phép truy cập Guest Shell và thiết lập quyền truy cập SSH liên tục.

Kỹ thuật sống tự cung tự cấp và xoay trục mạng lưới

Salt Typhoon đã tận dụng các kỹ thuật sống ngoài đất liền (LOTL), bao gồm việc lạm dụng các công cụ hệ thống và cơ sở hạ tầng hợp pháp để tránh bị phát hiện. Bằng cách sử dụng các thiết bị mạng bị xâm phạm làm điểm xoay, chúng có thể nhảy từ mạng viễn thông này sang mạng viễn thông khác trong khi vẫn ẩn mình. Các thiết bị bị xâm phạm này có thể đóng vai trò là các rơle trung gian, giúp kẻ tấn công di chuyển theo chiều ngang đến mục tiêu cuối cùng của chúng hoặc thiết lập các tuyến đường rò rỉ dữ liệu ra bên ngoài.

Để tiếp tục tránh bị phát hiện, Salt Typhoon đã thao túng cấu hình mạng bằng cách thay đổi địa chỉ giao diện vòng lặp trên các thiết bị chuyển mạch bị xâm phạm. Điều này cho phép chúng thiết lập các kết nối SSH bỏ qua danh sách kiểm soát truy cập (ACL), cấp quyền di chuyển không hạn chế trong môi trường mục tiêu.

JumbledPath: Một công cụ tùy chỉnh cho các hoạt động bí mật

Một trong những khám phá đáng lo ngại nhất là việc Salt Typhoon sử dụng một công cụ tùy chỉnh có tên là JumbledPath, được thiết kế riêng cho việc xâm nhập mạng bí mật. Mã nhị phân ELF dựa trên Go này cho phép kẻ tấn công thực hiện việc bắt gói tin trên các thiết bị Cisco từ xa thông qua máy chủ nhảy do tác nhân kiểm soát. Công cụ này cũng có thể xóa nhật ký hệ thống và vô hiệu hóa hoàn toàn việc ghi nhật ký, khiến việc phân tích pháp y trở nên khó khăn hơn đáng kể.

Các nỗ lực xóa nhật ký định kỳ làm giảm khả năng hiển thị các hoạt động của chúng. Salt Typhoon đã được quan sát thấy xóa các nhật ký quan trọng, bao gồm .bash_history, auth.log, lastlog, wtmp và btmp, để che giấu dấu vết và đảm bảo các hoạt động của chúng không bị phát hiện trong thời gian dài.

Khai thác liên tục các thiết bị Cisco

Ngoài các hoạt động của Salt Typhoon, Cisco cũng phát hiện ra việc nhắm mục tiêu rộng rãi vào các thiết bị của mình với các tính năng Smart Install (SMI) bị lộ, dẫn đến việc tiếp tục khai thác CVE-2018-0171. Tuy nhiên, Cisco đã làm rõ rằng hoạt động này không liên quan đến Salt Typhoon và dường như không liên quan đến bất kỳ nhóm đe dọa nào đã biết.

Các tổ chức có thể phòng thủ chống lại những cuộc tấn công này như thế nào

Do tính chất dai dẳng của các hoạt động của Salt Typhoon, các tổ chức—đặc biệt là các tổ chức trong lĩnh vực viễn thông—phải thực hiện các bước chủ động để bảo vệ mạng lưới của mình. Các biện pháp phòng thủ được khuyến nghị bao gồm:

• Vô hiệu hóa Cài đặt thông minh (SMI): Nếu không cần thiết, nên tắt SMI để giảm thiểu nguy cơ bị khai thác.
• Thực thi Xác thực đa yếu tố (MFA): Thông tin đăng nhập bị đánh cắp sẽ kém hiệu quả hơn nếu yêu cầu MFA để xác thực.

Việc Salt Typhoon xâm nhập thành công vào mạng viễn thông Hoa Kỳ nhấn mạnh tầm quan trọng của sự cảnh giác trong an ninh mạng. Khả năng khai thác lỗ hổng đã tồn tại nhiều năm, đánh cắp thông tin đăng nhập và tồn tại mà không bị phát hiện trong thời gian dài cho thấy bối cảnh mối đe dọa đang thay đổi. Các tổ chức phải ưu tiên các chiến lược phòng thủ chủ động, bao gồm quản lý bản vá mạnh mẽ, giám sát mạng và kiểm soát truy cập nghiêm ngặt, để giảm thiểu rủi ro do các mối đe dọa mạng do nhà nước tài trợ gây ra.