Cisco ha confirmado que un actor de amenaza china conocido como Salt Typhoon obtuvo acceso al abusar de una falla de seguridad conocida rastreada como CVE-2018-0171y obteniendo credenciales legítimas de inicio de sesión de víctimas como parte de una campaña específica dirigida a las principales compañías de telecomunicaciones estadounidenses.
“El actor de amenaza demostró su capacidad de persistir en entornos objetivo en equipos de múltiples proveedores durante períodos prolongados, manteniendo el acceso en un caso durante más de tres años”, Cisco Talos dichodescribiendo a los piratas informáticos como altamente sofisticados y bien financiados.
“La larga línea de tiempo de esta campaña sugiere un alto grado de coordinación, planificación y paciencia: sellos distintivos de amenaza persistente avanzada (APT) y actores patrocinados por el estado”.
El comandante de equipos de redes de redes dijo que no encontró evidencia de que otros errores de seguridad conocidos hayan sido armados por el equipo de piratería, al contrario de un informe reciente de Future registrado que reveló intentos de explotación que involucraron fallas rastreadas como CVE-2023-20198 y CVE-2023-20273 a Redes de infiltrado.
Un aspecto importante de la campaña es el uso de credenciales válidas y robadas para obtener acceso inicial, aunque la manera en que se adquieren se desconoce en esta etapa. El actor de amenaza también se ha observado haciendo esfuerzos para obtener credenciales a través de configuraciones de dispositivos de red y descifrar cuentas locales con tipos de contraseñas débiles.
“Además, hemos observado el actor de amenaza que captura SNMP, Tacacs y el tráfico de radio, incluidas las claves secretas utilizadas entre los dispositivos de red y los servidores Tacacs/Radius”, señaló Talos. “La intención de esta captura de tráfico es casi seguramente enumerar detalles de credenciales adicionales para el uso de seguimiento”.
Otro comportamiento notable exhibido por Salt Typhoon implica aprovechar las técnicas de vida-de la tierra (LOTL) en dispositivos de red, abusando de la infraestructura confiable como puntos dinámicos para saltar de un telecomunicaciones a otro.
Se sospecha que estos dispositivos se están utilizando como relés intermedios para alcanzar el objetivo final previsto o como un primer salto para operaciones de exfiltración de datos salientes, ya que ofrece una forma para que el adversario permanezca sin ser detectado por períodos prolongados de tiempo.
Además, Salt Typhoon se ha visto alterando las configuraciones de la red para crear cuentas locales, habilitar el acceso a la concha de los invitados y facilitar el acceso remoto a través de SSH. También se usa una utilidad a medida llamada JumbledPath que les permite ejecutar una captura de paquetes en un dispositivo Cisco remoto a través de un salto definido por el actor.
El Binario ELF basado en GO también es capaz de eliminar los registros y deshabilitar el registro en un intento de ofuscar trazas de la actividad maliciosa y dificultar el análisis forense. Esto se complementa con pasos periódicos realizados para borrar registros relevantes, incluidos .bash_history, auth.log, LastLog, WTMP y BTMP, cuando corresponda.
“El uso de esta utilidad ayudaría a ofuscar la fuente original, y el destino final, de la solicitud y también permitiría a su operador moverse a través de dispositivos o infraestructura potencialmente no públicamente solibles (o enrutables)”, señaló Cisco.
“El actor de amenaza modificó repetidamente la dirección de la interfaz de bucleback en un interruptor comprometido y utilizó esa interfaz como fuente de conexiones SSH a dispositivos adicionales dentro del entorno de destino, lo que les permite pasar de manera efectiva las listas de control de acceso (ACL) en esos dispositivos “
La compañía dijo que también identificaba la “orientación generalizada adicional” de los dispositivos Cisco con instalación inteligente expuesta (SMI), seguida de la explotación de CVE-2018-0171. La actividad, señaló, no está relacionada con el tifón de sal y no comparte superposiciones con ningún actor o grupo de amenazas conocido.
About the Author
