Cisco ha confirmado que un actor de amenaza chino conocido como Typhoon de Salt obtuvo golpe al violar de un defecto de seguridad conocido rastreado como CVE-2018-0171, y al obtener credenciales legítimas de inicio de sesión de víctimas como parte de una campaña específica dirigida a las principales compañías de telecomunicaciones de los Estados Unidos.
“El actor de amenaza demostró su capacidad de persistir en entornos objetivo en equipos de múltiples proveedores durante períodos prolongados, manteniendo el golpe en un caso durante más de tres primaveras”, dijo Cisco Talos, describiendo a los piratas informáticos como mucho sofisticados y correctamente financiados.
“La larga cadena de tiempo de esta campaña sugiere un parada extremo de coordinación, planificación y paciencia: sellos distintivos de amenaza persistente destacamento (APT) y actores patrocinados por el estado”.
El comandante de equipos de redes de redes dijo que no encontró evidencia de que otros errores de seguridad conocidos hayan sido armados por el equipo de piratería, al contrario de un documentación flamante de Future registrado que reveló intentos de explotación que involucraron fallas rastreadas como CVE-2023-20198 y CVE-2023-20273 a Redes de infiltrado.
Un aspecto importante de la campaña es el uso de credenciales válidas y robadas para obtener golpe auténtico, aunque la forma en que se adquieren se desconoce en esta etapa. El actor de amenaza todavía se ha observado haciendo esfuerzos para obtener credenciales a través de configuraciones de dispositivos de red y descifrar cuentas locales con tipos de contraseñas débiles.
“Por otra parte, hemos observado el actor de amenaza que captura SNMP, Tacacs y el tráfico de radiodifusión, incluidas las claves secretas utilizadas entre los dispositivos de red y los servidores Tacacs/Radius”, señaló Talos. “La intención de esta captura de tráfico es casi seguramente enumerar detalles de credenciales adicionales para el uso de seguimiento”.
Otro comportamiento sobresaliente exhibido por Salt Typhoon implica exprimir las técnicas de vida-de la tierra (LOTL) en dispositivos de red, abusando de la infraestructura confiable como puntos dinámicos para saltar de un telecomunicaciones a otro.
Se sospecha que estos dispositivos se están utilizando como relés intermedios para alcanzar el objetivo final previsto o como un primer brinco para operaciones de exfiltración de datos salientes, ya que ofrece una forma para que el adversario permanezca sin ser detectado por períodos prolongados de tiempo.
Por otra parte, Salt Typhoon se ha conocido alterando las configuraciones de la red para crear cuentas locales, habilitar el golpe a la concha de los invitados y proveer el golpe remoto a través de SSH. Incluso se usa una utilidad a medida emplazamiento JumbledPath que les permite ejecutar una captura de paquetes en un dispositivo Cisco remoto a través de un brinco definido por el actor.
El Binario ELF basado en GO todavía es capaz de eliminar los registros y deshabilitar el registro en un intento de ofuscar trazas de la actividad maliciosa y dificultar el estudio forense. Esto se complementa con pasos periódicos realizados para borrar registros relevantes, incluidos .bash_history, auth.log, LastLog, WTMP y BTMP, cuando corresponda.
“El uso de esta utilidad ayudaría a ofuscar la fuente llamativo, y el destino final, de la solicitud y todavía permitiría a su cámara moverse a través de dispositivos o infraestructura potencialmente no públicamente solibles (o enrutables)”, señaló Cisco.
“El actor de amenaza modificó repetidamente la dirección de la interfaz de bucleback en un interruptor comprometido y utilizó esa interfaz como fuente de conexiones SSH a dispositivos adicionales adentro del entorno de destino, lo que les permite acontecer de forma efectiva las listas de control de golpe (ACL) en esos dispositivos “
La compañía dijo que todavía identificaba la “orientación generalizada adicional” de los dispositivos Cisco con instalación inteligente expuesta (SMI), seguida de la explotación de CVE-2018-0171. La actividad, señaló, no está relacionada con el tifón de sal y no comparte superposiciones con ningún actor o colección de amenazas conocido.
