Группа Salt Typhoon, высококвалифицированный и, по всей видимости, поддерживаемый государством китайский игрок, успешно использовала уязвимость Cisco CVE-2018-0171 в сочетании с похищенными учетными данными для несанкционированного доступа к сетям ведущих телекоммуникационных операторов Соединенных Штатов.
Анализ Cisco Talos демонстрирует, что злоумышленники использовали проверенные методы APT для долгосрочного присутствия в сетевой инфраструктуре, фиксируя примеры, когда доступ сохранялся непрерывно свыше трёх лет. Это свидетельствует о высокой координации и тщательной подготовке атакующих.
Уязвимость CVE-2018-0171 позволила злоумышленникам получать доступ к устройствам Cisco путём эксплуатации легитимных, но украденных учетных записей. Методы получения включали извлечение данных из конфигураций сетевого оборудования и дешифровку локальных аккаунтов с использованием слабых паролей.
Перехват сетевого трафика стал важным компонентом атаки. Захват протоколов SNMP, TACACS и RADIUS позволил злоумышленникам извлекать секретные ключи, используемые между устройствами и серверами аутентификации, что давало дополнительное преимущество в дальнейшем перемещении по сети.
Методы «Living-off-the-Land» способствовали сокрытию активности атакующих. Изменение конфигураций устройств, создание временных локальных аккаунтов, включение доступа через Guest Shell и модификация loopback-интерфейсов для установления SSH-соединений позволяли обходить списки контроля доступа и оставаться незамеченными в сетевых сегментах.
Специально разработанная утилита JumbledPath, написанная на языке Go, обеспечивала выполнение удалённого перехвата пакетов при помощи заданного хоста-прыгуна. Кроме того, она регулярно очищала журналы событий, включая.bash_history, auth.log, lastlog, wtmp и btmp, что значительно усложняло последующий судебно-экспертный анализ.
Отчёты Recorded Future упоминали возможность эксплуатации уязвимостей CVE-2023-20198 и CVE-2023-20273, однако Cisco не обнаружила доказательств применения этих ошибок. Фокус атаки оставался на критической уязвимости CVE-2018-0171, что позволило детальнее проследить весь ход кампании.
Тактика атаки демонстрирует высокую сложность мер обхода и латерального перемещения в сети, характерных для современных APT-операций с потенциальной государственной поддержкой. Последовательные изменения настроек сетевого оборудования и использование доверенной инфраструктуры в качестве промежуточных узлов указывают на системный и продуманный характер кампании Salt Typhoon.
Изображение носит иллюстративный характер
Анализ Cisco Talos демонстрирует, что злоумышленники использовали проверенные методы APT для долгосрочного присутствия в сетевой инфраструктуре, фиксируя примеры, когда доступ сохранялся непрерывно свыше трёх лет. Это свидетельствует о высокой координации и тщательной подготовке атакующих.
Уязвимость CVE-2018-0171 позволила злоумышленникам получать доступ к устройствам Cisco путём эксплуатации легитимных, но украденных учетных записей. Методы получения включали извлечение данных из конфигураций сетевого оборудования и дешифровку локальных аккаунтов с использованием слабых паролей.
Перехват сетевого трафика стал важным компонентом атаки. Захват протоколов SNMP, TACACS и RADIUS позволил злоумышленникам извлекать секретные ключи, используемые между устройствами и серверами аутентификации, что давало дополнительное преимущество в дальнейшем перемещении по сети.
Методы «Living-off-the-Land» способствовали сокрытию активности атакующих. Изменение конфигураций устройств, создание временных локальных аккаунтов, включение доступа через Guest Shell и модификация loopback-интерфейсов для установления SSH-соединений позволяли обходить списки контроля доступа и оставаться незамеченными в сетевых сегментах.
Специально разработанная утилита JumbledPath, написанная на языке Go, обеспечивала выполнение удалённого перехвата пакетов при помощи заданного хоста-прыгуна. Кроме того, она регулярно очищала журналы событий, включая.bash_history, auth.log, lastlog, wtmp и btmp, что значительно усложняло последующий судебно-экспертный анализ.
Отчёты Recorded Future упоминали возможность эксплуатации уязвимостей CVE-2023-20198 и CVE-2023-20273, однако Cisco не обнаружила доказательств применения этих ошибок. Фокус атаки оставался на критической уязвимости CVE-2018-0171, что позволило детальнее проследить весь ход кампании.
Тактика атаки демонстрирует высокую сложность мер обхода и латерального перемещения в сети, характерных для современных APT-операций с потенциальной государственной поддержкой. Последовательные изменения настроек сетевого оборудования и использование доверенной инфраструктуры в качестве промежуточных узлов указывают на системный и продуманный характер кампании Salt Typhoon.
