Kinijos valstybės remiama „Salt Typhoon Hacking Group“ naudoja pasirinktinę naudingumą, vadinamą „JumbledPath“, kad slaptai stebėtų tinklo srautą ir potencialiai užfiksuotų neskelbtinus duomenis kibernetiniuose išpuoliuose JAV telekomunikacijų teikėjams.
„Salt Typhoon“ (dar žinoma kaip „Earth Esties“, „Ghostemperor“ ir „UNC2286“) yra sudėtinga įsilaužimo grupė, aktyvi nuo mažiausiai 2019 m., Daugiausia dėmesio skiriant vyriausybės subjektų ir telekomunikacijų bendrovių pažeidimui.
Neseniai JAV valdžios institucijos patvirtino, kad „Salt Typhoon“ buvo už kelių sėkmingų telekomunikacijų paslaugų teikėjų pažeidimų JAV, įskaitant „Verizon“, „AT&T“, „Lumen Technologies“ ir „T-Mobile“.
Vėliau buvo atskleista, kad „Salt Typhoon“ sugebėjo įsitraukti į kai kurių JAV vyriausybės pareigūnų privačius ryšius ir pavogė informaciją, susijusią su teismais patvirtintais laidų pateikimo užklausomis.
Praėjusią savaitę įrašyta „Future“ „Insikt“ grupė pranešė, kad „Salt Typhoon“ nuo 2024 m. Gruodžio mėn. Iki 2025 m. Gruodžio mėn. Iki 2025 m. Gruodžio mėn. Buvo skirta daugiau nei 1000 „Cisco Network“ įrenginių, daugiau nei pusės JAV, Pietų Amerikos ir Indijos.
Šiandien „Cisco Talos“ atskleidė daugiau informacijos apie grėsmės aktoriaus veiklą, kai jie pažeidė dideles telekomunikacijų įmones JAV, kurios kai kuriais atvejais truko per trejus metus.
Druskos taifūno taktika
„Cisco“ sako, kad druskos taifūnų įsilaužėliai įsiskverbia į pagrindinę tinklo infrastruktūrą, pirmiausia pavogtus įgaliojimus. Be vieno atvejo, susijusio su „Cisco CVE-2018-0171“ trūkumu, kibernetinio saugumo įmonė šioje kampanijoje buvo išnaudota jokių kitų trūkumų, žinomų ar nulinių dienų.
„Šios kampanijos metu nebuvo rasta jokių naujų„ Cisco “pažeidžiamumų“, – teigia „Cisco Talos“ savo pranešime. „Nors buvo keletas pranešimų, kad druskos taifūnas piktnaudžiauja dar trimis žinomais„ Cisco “pažeidžiamumais, mes nenustatėme jokių įrodymų, patvirtinančių šiuos teiginius.”
Nors druskos taifūnai pirmiausia įgavo prieigą prie tikslinių tinklų, naudojant pavogtus kredencialus, tikslus kredencialų gavimo būdas išlieka neaiškus.
Patekę į vidų, jie išplėtė savo prieigą, ištraukdami papildomus kredencialus iš tinklo įrenginių konfigūracijų ir perimdami autentifikavimo srautą (SNMP, TACACS ir RADIUS).
Jie taip pat ištraukė įrenginių konfigūraciją per TFTP ir FTP, kad palengvintų šoninį judėjimą, kuriame buvo jautrūs autentifikavimo duomenys, silpnai užšifruoti slaptažodžiai ir tinklo žemėlapių išsami informacija.
Užpuoliai pademonstravo patobulintus nuolatinio prieigos ir vengimo metodus, įskaitant dažnai pasisukimą tarp skirtingų tinklų kūrimo įrenginių, kad paslėptų savo pėdsakus ir panaudotų pažeistus krašto įrenginius, kad būtų galima pasukti į partnerių telekomunikacijų tinklus.
Taip pat buvo stebimi grėsmės veikėjai, modifikuojantys tinklo konfigūracijas, leidžiančius svečių apvalkalo prieigai prie vykdymo komandų, keičiant prieigos kontrolės sąrašus (ACL) ir sukuriant paslėptas paskyras.
Šaltinis: „Cisco“
„Custom JumbledPath“ kenkėjiška programa
Pagrindinis druskos taifūnų atakų komponentas buvo tinklo veiklos stebėjimas ir pavogimas duomenimis naudojant paketų surinkimo įrankius, tokius kaip TCPDUMP, TPACAP, įterptas paketų fiksavimas ir pasirinktinis įrankis, vadinamas „JumbledPath“.
„JumpedPath“ yra „Go“ pagrindu sukurtas „ELF“ dvejetainis, sukurtas x86_64 „Linux“ pagrindu sukurtoms sistemoms, leidžiančioms jai paleisti įvairius kraštų tinklų įrenginius iš skirtingų gamintojų, įskaitant „Cisco Nexus“ įrenginius.
„Jumbledpath“ leido „Salt Typhoon“ inicijuoti paketų fiksavimą tiksliniame „Cisco“ įrenginyje per „Jump-Host“-tarpinę sistemą, kuri privertė surinkti užklausas taip, tarsi jos kiltų iš patikimo įrenginio tinklo viduje, kartu užmaskuodamas tikrąją užpuoliko vietą.
Šaltinis: „Cisco“
Tas pats įrankis taip pat galėtų išjungti registravimą ir išvalyti esamus žurnalus, kad būtų ištrinti savo veiklos pėdsakai ir apsunkinti teismo medicinos tyrimus.
„Cisco“ pateikia keletą rekomendacijų, kaip aptikti druskos taifūnų veiklą, pavyzdžiui, stebėti neteisėtą SSH veiklą nestandartiniuose prievaduose, stebėjimo žurnalo anomalijas, įskaitant trūkstamus ar neįprastai didelius '.Bash_History' failus ir tikrinant, ar nėra netikėtų konfigūracijos pokyčių.
Per pastaruosius porą metų Kinijos grėsmės veikėjai vis labiau nukreipė „Edge Networking“ įrenginius, kad įdiegtų pasirinktinę kenkėjišką programą, leidžiančią jiems stebėti tinklo ryšius, pavogti kredencialus ar veikti kaip tarpinių serverių reljefinių atakų serveriams.
Šie išpuoliai buvo nukreipti į žinomus gamintojus, įskaitant „Fortinet“, „Barracuda“, „Sonicwall“, „Check Point“, „D-Link“, „Cisco“, „Juniper“, „Netgear“ ir „Sophos“.
Nors daugelis šių išpuolių išnaudojo nulinės dienos pažeidžiamumą, kiti prietaisai buvo pažeisti dėl pažeistų įgaliojimų ar senesnių pažeidžiamumų. Todėl administratoriai turi pritaikyti pataisas į kraštų tinklų įrenginius, kai tik jie bus prieinami.
