A Cisco confirmou que um ator de ameaças chinês conhecido como Salt Typhoon obteve acesso, provavelmente abusando de uma falha de segurança conhecida rastreada como
CVE-2018-0171
, e obtendo credenciais legítimas de login de vítimas como parte de uma campanha direcionada visando grandes empresas de telecomunicações dos EUA.
"O ator de ameaças demonstrou, então, sua capacidade de persistir nos ambientes alvo através de equipamentos de múltiplos fornecedores por períodos prolongados, mantendo acesso em um caso por mais de três anos", disse a Cisco Talos, descrevendo os hackers como altamente sofisticados e bem financiados.
A longa duração desta campanha sugere um alto grau de coordenação, planejamento e paciência — marcas registradas padrão de ameaças persistentes avançadas (APT) e atores patrocinados pelo estado.
A gigante de equipamentos de rede disse que não encontrou evidências de que outros bugs de segurança conhecidos tenham sido armados pelo grupo de hackers, contrariamente a um relatório recente da Recorded Future que revelou tentativas de exploração envolvendo falhas rastreadas como
CVE-2023-20198
e
CVE-2023-20273
para infiltrar redes.
Um aspecto importante da campanha é o uso de credenciais válidas e roubadas para obter acesso inicial, embora a maneira como elas são adquiridas seja desconhecida nesta fase.
O ator de ameaças também foi observado fazendo esforços para obter credenciais por meio de configurações de dispositivos de rede e decifrar contas locais com tipos de senhas fracas.
"Além disso, observamos o ator de ameaças capturando tráfego SNMP, TACACS e RADIUS, incluindo as chaves secretas usadas entre dispositivos de rede e servidores TACACS/RADIUS," Talos observou.
O intuito dessa captura de tráfego é quase certamente para enumerar detalhes de credenciais adicionais para uso subsequente.
Outro comportamento notável exibido por Salt Typhoon envolve o uso de técnicas de living-off-the-land (LOTL) em dispositivos de rede, abusando da infraestrutura confiável como pontos de pivô para saltar de uma telecom para outra.
Suspeita-se que esses dispositivos estejam sendo usados como relés intermediários para alcançar o alvo final pretendido ou como um primeiro salto para operações de exfiltração de dados para fora, pois oferece uma maneira para o adversário permanecer não detectado por períodos prolongados.
Ademais, Salt Typhoon foi vista alterando configurações de rede para criar contas locais, habilitar o acesso ao Guest Shell e facilitar o acesso remoto via SSH.
Também é utilizado um utilitário sob medida chamado JumbledPath que permite a execução de uma captura de pacote em um dispositivo Cisco remoto por meio de um jump-host definido pelo ator.
O binário ELF baseado em Go também é capaz de limpar logs e desativar o registro em uma tentativa de obfuscar rastros da atividade maliciosa e tornar a análise forense mais difícil.
Isso é complementado por etapas periódicas empreendidas para apagar logs relevantes, incluindo .bash_history, auth.log, lastlog, wtmp e btmp, quando aplicável.
"O uso desse utilitário ajudaria a obfuscar a origem original, e o destino final, da solicitação e também permitiria que seu operador se movesse por dispositivos ou infraestrutura que de outra forma não seriam acessíveis (ou roteáveis) ao público," observou a Cisco.
O ator de ameaças modificou repetidamente o endereço da interface loopback em um switch comprometido e usou essa interface como a fonte de conexões SSH para dispositivos adicionais dentro do ambiente alvo, permitindo que eles efetivamente contornassem listas de controle de acesso (ACLs) presentes nesses dispositivos.
A empresa disse que também identificou "direcionamentos adicionais pervasivos" de dispositivos Cisco com Smart Install (SMI) expostos, seguido pela exploração do
CVE-2018-0171
.
A atividade, apontou, é não relacionada ao Salt Typhoon e não compartilha sobreposições com nenhum ator ou grupo de ameaças conhecido.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...