Cisco a confirmé qu’un acteur de menace chinois connu sous le nom de typhon de sel a eu accès en abusant probablement d’un défaut de sécurité connu suivi comme CVE-2018-0171et en obtenant des titres de connexion légitimes de connexion dans le cadre d’une campagne ciblée destinée aux grandes sociétés de télécommunications américaines.
“L’acteur de menace a ensuite démontré sa capacité à persister dans des environnements cibles à travers l’équipement de plusieurs fournisseurs pendant de longues périodes, en maintenant l’accès dans un cas pendant plus de trois ans”, Cisco Talos ditdécrivant les pirates comme très sophistiqués et bien financés.
“Le long calendrier de cette campagne suggère un degré élevé de coordination, de planification et de patience – les caractéristiques standard de la menace persistante avancée (APT) et des acteurs parrainés par l’État.”
L’équipement de réseautage Major a déclaré qu’il ne trouvait aucune preuve que d’autres bogues de sécurité connus avaient été armées par l’équipage de piratage, contrairement à un récent rapport de l’avenir enregistré qui a révélé des tentatives d’exploitation impliquant des défauts suivis en tant que CVE-2023-20198 et CVE-2023-20273 à CVE-2023-20198 et CVE-2023-20273 pour Infiltrez les réseaux.
Un aspect important de la campagne est l’utilisation de références volées valides pour obtenir un accès initial, bien que la manière dont ils sont acquis sont inconnus à ce stade. L’acteur de menace a également été observé en faisant des efforts pour obtenir des informations d’identification via des configurations de périphériques réseau et déchiffrer des comptes locaux avec des types de mots de passe faibles.
“De plus, nous avons observé l’acteur de menace capturant le SNMP, le TACACS et le trafic RADIUS, y compris les clés secrètes utilisées entre les dispositifs réseau et les serveurs TACAC / RADIUS”, a noté Talos. “L’intention de cette capture de trafic est presque certainement d’énumérer des détails d’identification supplémentaires pour une utilisation de suivi.”
Un autre comportement notable présenté par Salt Typhoon implique de tirer parti des techniques de vie (LOTL) sur les appareils de réseau, abusant de l’infrastructure de confiance alors que Pivot pointe pour passer d’un télécom à un autre.
Il est soupçonné que ces appareils sont utilisés comme relais intermédiaires pour atteindre la cible finale prévue ou comme premier saut pour les opérations d’exfiltration des données sortantes, car il offre un moyen pour que l’adversaire reste non détecté pendant de longues périodes.
En outre, Salt Typhoon a été repéré en modifiant les configurations du réseau pour créer des comptes locaux, activer l’accès à la coquille invité et faciliter l’accès à distance via SSH. Un utilitaire sur mesure nommé JumbledPath a également été utilisé qui leur permet d’exécuter une capture de paquets sur un appareil Cisco distant via un hôte de saut défini par l’acteur.
Le binaire elfe à base de GO est également capable de nettoyer les journaux et de désactiver la journalisation pour tenter d’obscurcir les traces de l’activité malveillante et de rendre l’analyse médico-légale plus difficile. Ceci est complété par des étapes périodiques entreprises pour effacer les journaux pertinents, notamment .Bash_history, Auth.log, Lastlog, WTMP et BTMP, le cas échéant.
“L’utilisation de cet utilitaire aiderait à obscurcir la source d’origine et la destination ultime de la demande et permettrait également à son opérateur de se déplacer à travers des appareils ou une infrastructure ou d’infrastructure autrement non publique (ou routibles)”, a noté Cisco.
“L’acteur de menace a modifié à plusieurs reprises l’adresse de l’interface de bouclage sur un commutateur compromis et a utilisé cette interface comme source de connexions SSH à des appareils supplémentaires dans l’environnement cible, ce qui leur permet de contourner efficacement les listes de contrôle d’accès (ACL) en place sur ces appareils . “
La société a déclaré avoir également identifié “un ciblage omniprésent supplémentaire” des appareils Cisco avec une installation intelligente exposée (SMI), suivie de l’exploitation du CVE-2018-0171. L’activité, a-t-il souligné, n’est pas liée au typhon de sel et ne partage pas les chevauchements avec un acteur ou un groupe de menace connu.




