Хакеры Salt Typhoon использовали хитрый прием для атаки на американские сети

Компания Cisco обнаружила, что группировка Salt Typhoon использовала уязвимость CVE-2018-0171 для проникновения в сети целевых организаций. Для этого им требовались учетные данные доступа.

Cisco заявила, что атакующие являются высокоуровнево квалифицированными и хорошо финансируемыми. Эксперты подтвердили, что группировка Salt Typhoon, спонсируемая китайским государством, злоупотребляла уязвимостью в функции Smart Install программного обеспечения Cisco IOS и Cisco IOS XE для компрометации сетей американских телекоммуникационных компаний.

В новом блоге компания Cisco сообщила о том, что нашла доказательства использования группировкой Salt Typhoon уязвимости CVE-2018-0171. Эта критическая уязвимость с рейтингом 9.8 из 10 позволяет злоумышленникам выполнять произвольный код на затронутых устройствах.

"Cisco Talos также отметил, что данная группировка продемонстрировала способность поддерживать присутствие в целевых средах на протяжении длительного времени, используя оборудование от разных поставщиков. В одном случае доступ был сохранен более трех лет."

Исследователи охарактеризовали атакующих как "высоко квалифицированных и хорошо финансируемых", добавив: "Длительность кампании свидетельствует о высокой степени координации, планирования и терпения — стандартных признаках атакаторов с длительным присутствием (APT) и спонсируемых государством".

Чтобы эксплуатировать эту уязвимость, Salt Typhoon сначала должна была получить действительные учетные данные доступа. Исследователи подозревают, что это было сделано следующим образом: "Кроме того, мы наблюдали за тем, как атакующие перехватывали трафик SNMP, TACACS и RADIUS, включая секретные ключи между сетевыми устройствами и серверами TACACS/RADIUS. Цель этого перехвата почти наверняка заключалась в определении дополнительных деталей учетных данных для последующего использования."

В конце октября 2024 года FBI и CISA предупредили о взломе нескольких крупных американских телекоммуникационных провайдеров группировкой Salt Typhoon. В заявлении отмечалось: "Правительство США расследует несанкционированный доступ к коммерческой инфраструктуре связи, осуществленный акторами, связанными с Китайской Народной Республикой."

Со временем исследователи обнаружили, что по меньшей мере восемь крупных американских телекоммуникационных компаний были взломаны, включая T-Mobile, Verizon, AT&T и Lumen Technologies. Кроме того, множество других организаций во всем мире также оказались под ударом.

Cisco Talos обнаружил, что Salt Typhoon сначала получает доступ к оборудованию и затем использует его для дальнейшего распространения и проникновения в сети целевых организаций.