أكدت شركة سيسكو أن مجموعة تهديد صينية تعرف باسم Salt Typhoon تمكنت من الوصول إلى الأنظمة عبر استغلال ثغرة أمنية معروفة تحمل الرقم CVE-2018-0171، بالإضافة إلى الحصول على بيانات تسجيل دخول صحيحة كجزء من حملة استهدفت شركات الاتصالات الأمريكية الكبرى.
وقالت سيسكو تالوس: “ثم أظهرت مجموعة التهديد قدرتها على الاستمرار في البيئات المستهدفة عبر معدات من عدة موردين لفترات طويلة، حيث تمكنت من الحفاظ على الوصول في إحدى الحالات لأكثر من ثلاث سنوات”، واصفة المخترقين بأنهم متطورون للغاية وممولون بشكل جيد.
تفاصيل الثغرات
وأشارت الشركة إلى أن طول مدة هذه الحملة يشير إلى درجة عالية من التنسيق والتخطيط والصبر، وهي سمات شائعة للتهديدات المستمرة المتقدمة (APT) والجهات الفاعلة المدعومة من الدولة.
أكدت سيسكو أنها لم تجد أي دليل على أن أخطاء أمان أخرى معروفة قد استُغلت من قبل مجموعة القرصنة، على عكس تقرير حديث من Recorded Future الذي كشف عن محاولات استغلال تتضمن الثغرات CVE-2023-20198 وCVE-2023-20273 لاختراق الشبكات.
أحد الجوانب المهمة في الحملة هو استخدام بيانات الاعتماد الصحيحة المسروقة للوصول الأولي، رغم أن الطريقة التي تم بها الحصول على هذه البيانات غير معروفة في هذه المرحلة. كما لوحظ أن مجموعة التهديد تبذل جهودًا للحصول على بيانات الاعتماد عبر تكوينات أجهزة الشبكة وتحليل الحسابات المحلية ذات كلمات المرور الضعيفة.
وأضافت تالوس: “لاحظنا أيضًا أن مجموعة التهديد تقوم بالتقاط حركة SNMP وTACACS وRADIUS، بما في ذلك المفاتيح السرية المستخدمة بين أجهزة الشبكة وخوادم TACACS/RADIUS والغرض من هذا الالتقاط هو بالتأكيد استخراج تفاصيل بيانات الاعتماد الإضافية للاستخدام المستقبلي”.
تقنيات الهجوم
تتضمن سلوكيات أخرى ملحوظة لمجموعة Salt Typhoon استغلال تقنيات العيش على الأرض (LOTL) على أجهزة الشبكة، واستغلال البنية التحتية الموثوقة كنقاط انطلاق للانتقال من شبكة اتصالات إلى أخرى.
يُشتبه في أن هذه الأجهزة تُستخدم كمرحل وسيط للوصول إلى الهدف النهائي المقصود أو كنقطة انطلاق أولى لعمليات استخراج البيانات الصادرة، حيث توفر طريقة للبقاء غير مكشوفة لفترات طويلة.
تغييرات الشبكة
كما لوحظ أن مجموعة Salt Typhoon تقوم بتعديل تكوينات الشبكة لإنشاء حسابات محلية، وتفعيل الوصول إلى Guest Shell، وتسهيل الوصول عن بُعد عبر SSH. كما تم استخدام أداة مخصصة تسمى JumbledPath تسمح لهم بتنفيذ التقاط الحزم على جهاز Cisco عن بُعد من خلال مضيف قفز محدد بواسطة الفاعل.
يتمتع الملف التنفيذي ELF المستند إلى Go أيضًا بقدرة على مسح السجلات وتعطيل التسجيل في محاولة لإخفاء آثار النشاط الضار وجعل التحليل الجنائي أكثر صعوبة. يتم دعم هذا من خلال خطوات دورية لمحو السجلات ذات الصلة، بما في ذلك .bash_history، وauth.log، وlastlog، وwtmp، وbtmp، حيثما ينطبق ذلك.
وأضافت سيسكو: “يساعد استخدام هذه الأداة في إخفاء المصدر الأصلي، والوجهة النهائية، للطلب ويسمح لمشغلها بالتنقل عبر الأجهزة أو البنية التحتية التي قد لا تكون قابلة للوصول العام (أو التوجيه) ” .
وقالت الشركة إن المجموعة المهددة قامت بتعديل عنوان واجهة loopback على المحول المخترق واستخدمت تلك الواجهة كمصدر لاتصالات SSH إلى أجهزة إضافية داخل البيئة المستهدفة، مما سمح لهم بتجاوز قوائم التحكم في الوصول (ACLs) المفروضة على تلك الأجهزة.
كما ذكرت الشركة أنها حددت “استهدافًا شاملاً إضافيًا” لأجهزة Cisco المزودة بميزة Smart Install (SMI) المكشوفة، يليها استغلال الثغرة CVE-2018-0171. وأشارت إلى أن هذه الأنشطة غير مرتبطة بمجموعة Salt Typhoon ولا تتداخل مع أي جهة تهديد معروفة أو مجموعة.
