Cisco telah mengkonfirmasi bahwa aktor ancaman Tiongkok yang dikenal sebagai topan garam memperoleh akses dengan kemungkinan menyalahgunakan cacat keamanan yang diketahui dilacak sebagai CVE-2018-0171, dan dengan mendapatkan kredensial login korban yang sah sebagai bagian dari kampanye yang ditargetkan yang ditujukan untuk perusahaan telekomunikasi utama AS.
“Aktor ancaman kemudian menunjukkan kemampuan mereka untuk bertahan di lingkungan target di seluruh peralatan dari berbagai vendor untuk waktu yang lama, mempertahankan akses dalam satu contoh selama lebih dari tiga tahun,” kata Cisco Talos, menggambarkan peretas sebagai sangat canggih dan didanai dengan baik.
“Garis waktu yang panjang dari kampanye ini menunjukkan tingkat koordinasi, perencanaan, dan kesabaran yang tinggi-ciri khas standar ancaman persisten canggih (APT) dan aktor yang disponsori negara.”
Jurusan Peralatan Jaringan mengatakan tidak ada bukti bahwa serangga keamanan lain yang diketahui telah dipersenjatai oleh kru peretasan, bertentangan dengan laporan baru-baru ini dari rekaman masa depan yang mengungkapkan upaya eksploitasi yang melibatkan kelemahan yang dilacak sebagai CVE-2023-20198 dan CVE-2023-20273 ke menginfiltrasi jaringan.
Aspek penting dari kampanye ini adalah penggunaan kredensial yang valid dan dicuri untuk mendapatkan akses awal, meskipun cara mereka diperoleh tidak diketahui pada tahap ini. Aktor ancaman juga telah diamati melakukan upaya untuk mendapatkan kredensial melalui konfigurasi perangkat jaringan dan menguraikan akun lokal dengan jenis kata sandi yang lemah.
“Selain itu, kami telah mengamati aktor ancaman yang menangkap SNMP, TACAC, dan lalu lintas radius, termasuk kunci rahasia yang digunakan antara perangkat jaringan dan server TACAC/RADIUS,” kata Talos. “Maksud dari penangkapan lalu lintas ini hampir pasti untuk menyebutkan detail kredensial tambahan untuk penggunaan lanjutan.”
Perilaku penting lainnya yang ditunjukkan oleh Topan Garam mensyaratkan teknik hidup-off-the-land (LOTL) pada perangkat jaringan, menyalahgunakan infrastruktur tepercaya sebagai pivot point untuk melompat dari satu telekomunikasi ke telekomunikasi lainnya.
Diduga bahwa perangkat ini digunakan sebagai relay menengah untuk mencapai target akhir yang dimaksud atau sebagai hop pertama untuk operasi exfiltrasi data keluar, karena menawarkan cara bagi musuh untuk tetap tidak terdeteksi untuk jangka waktu yang lama.
Selain itu, topan garam telah terlihat mengubah konfigurasi jaringan untuk membuat akun lokal, memungkinkan akses shell tamu, dan memfasilitasi akses jarak jauh melalui SSH. Juga digunakan adalah utilitas yang dipesan lebih dahulu bernama Jumbledpath yang memungkinkan mereka untuk menjalankan packet capture pada perangkat Cisco jarak jauh melalui host lompatan yang ditentukan aktor.
Biner ELF berbasis GO juga mampu membersihkan log dan menonaktifkan penebangan dalam upaya untuk mengaburkan jejak aktivitas jahat dan membuat analisis forensik lebih sulit. Ini dilengkapi dengan langkah -langkah periodik yang dilakukan untuk menghapus log yang relevan, termasuk .bash_history, auth.log, lastlog, wtmp, dan btmp, jika berlaku.
“Penggunaan utilitas ini akan membantu untuk mengaburkan sumber asli, dan tujuan akhir, dari permintaan dan juga akan memungkinkan operator untuk bergerak melalui perangkat atau infrastruktur yang tidak dapat dipublikasikan secara publik (atau dapat dirutekan),” Cisco mencatat.
“Aktor ancaman berulang kali memodifikasi alamat antarmuka loopback pada sakelar yang dikompromikan dan menggunakan antarmuka itu sebagai sumber koneksi SSH ke perangkat tambahan dalam lingkungan target, memungkinkan mereka untuk secara efektif memotong daftar kontrol akses (ACL) pada perangkat tersebut . “
Perusahaan mengatakan juga mengidentifikasi “penargetan tambahan tambahan” dari perangkat Cisco dengan Smart Install (SMI) yang terbuka, diikuti oleh eksploitasi CVE-2018-0171. Aktivitas itu, itu menunjukkan, tidak terkait dengan topan garam dan tidak berbagi tumpang tindih dengan aktor atau kelompok ancaman yang diketahui.
