Gli hacker hanno usato uno strumento personalizzato per spiare le compagnie di telecomunicazioni americane attraverso dispositivi Cisco compromessi durante l'attacco di Salt Typhoon
Il gruppo Salt Typhoon, legato alla Cina, noto per aver colpito oltre 600 organizzazioni in tutto il mondo, tra cui importanti provider di telecomunicazioni come AT&T e Verizon, ha utilizzato un'utilità personalizzata chiamata JumbledPath per lanciare attacchi contro provider di telecomunicazioni degli Stati Uniti. Secondo un rapporto di Cisco Talos, il gruppo ha utilizzato JumbledPath per eseguire una cattura di pacchetti su un dispositivo Cisco remoto, con l'obiettivo di monitorare in modo subdolo il traffico di rete e potenzialmente rubare dati sensibili.
Gli attacchi di Salt Typhoon non si sono limitati al furto di dati. Il gruppo si è mosso lateralmente all'interno delle reti compromesse e tra diversi provider di telecomunicazioni, utilizzando dispositivi compromessi come tappe per raggiungere altri obiettivi e evitare la rilevazione. Hanno anche modificato le configurazioni dei dispositivi di rete, tentato di cancellare i log e impedito la registrazione lungo il percorso.
Uno dei metodi utilizzati da Salt Typhoon per accedere a informazioni sensibili è stato il furto delle configurazioni dei dispositivi tramite TFTP/FTP, che ha consentito loro di ottenere stringhe SNMP e password debolmente crittografate. Il gruppo ha anche modificato le impostazioni del server di autenticazione, autorizzazione e gestione (AAA) con indirizzi supplementari sotto il loro controllo per bypassare i sistemi di controllo dell'accesso.
Inoltre, Salt Typhoon ha utilizzato le credenziali rubate e ha tentato attivamente di rubarne altre attraverso l'obiettivo di archiviazione delle password deboli, delle configurazioni dei dispositivi di rete e della cattura del traffico di autenticazione. Hanno ripetutamente cancellato i log pertinenti per confondere le loro attività, inclusi .bash_history, auth.log, lastlog, wtmp e btmp, ove applicabile.
L'utilizzo di JumbledPath ha aiutato a confondere la fonte originale e la destinazione finale della richiesta, consentendo a Salt Typhoon di muoversi attraverso dispositivi o infrastrutture potenzialmente altrimenti non raggiungibili pubblicamente.
I ricercatori di Cisco Talos hanno fornito un elenco di raccomandazioni di mitigazione della minaccia specifiche per Cisco, tra cui la disabilitazione del server web non crittografato sottostante, la disabilitazione di telnet, la disabilitazione dell'accesso a GuestShell (se non necessario), la disabilitazione del servizio Smart Install di Cisco e l'utilizzo di password di tipo 8 per la configurazione delle credenziali dei conti locali e di tipo 6 per la configurazione della chiave TACACS+.
È importante notare che questa attività sembra essere non correlata alle operazioni di Salt Typhoon. Tuttavia, i risultati mettono in evidenza la necessità di misure di sicurezza di rete robuste, in particolare nei settori critici dell'infrastruttura come le telecomunicazioni.
I ricercatori di Talos hanno anche trovato un ulteriore targeting dei dispositivi Cisco con l'abuso di CVE-2018-0171, una vulnerabilità legacy nella funzionalità Smart Install (SMI) del software Cisco IOS e Cisco IOS XE. Il rapporto di Cisco Talos ha rivelato che Salt Typhoon ha ottenuto l'accesso all'infrastruttura di rete centrale attraverso i dispositivi Cisco.
L'utilizzo di JumbledPath da parte di Salt Typhoon serve come promemoria delle minacce continue poste dai gruppi di minacce persistenti avanzate e della necessità di una vigilanza continua e di misure proattive per proteggere l'infrastruttura di rete.
Leggi anche:
- Le cellule immunitarie nell'intestino possono contribuire allo sviluppo dell'Alzheimer
- Titolo di prima pagina: Eventi mondiali
- Esplorare le prospettive industriali del silicio nell'economia globale!
- La pioggia ha interrotto il primo incontro di Trump con i leader tecnologici nel Rose Garden, dopo la sua decisione di pavimentare il prato bagnato per ridurre al minimo i potenziali problemi meteorologici.
