اخیرا شرکت سیسکو تأیید کرده که گروه تهدید سایبری چینی موسوم به Salt Typhoon  با سوءاستفاده احتمالی از یک آسیب‌پذیری شناخته‌شده با شناسه CVE-2018-0171  و همچنین سرقت اطلاعات ورود کاربران، موفق شده به شبکه‌های مخابراتی مهم ایالات متحده نفوذ کند.

طبق اعلام مرکز امنیتی Talos سیسکو، این مهاجمان توانسته‌اند برای بیش از سه سال در محیط‌های هدف باقی بمانند و به تجهیزات چندین شرکت مختلف دسترسی داشته باشند. این مسئله نشان‌دهنده برنامه‌ریزی دقیق، هماهنگی بالا و صبر زیاد این گروه است — ویژگی‌هایی که معمولاً در حملات مداوم پیشرفته (APT) و گروه‌های تحت حمایت دولت‌ها دیده می‌شود.

شیوه نفوذ و ماندگاری مهاجمان در شبکه

سیسکو اعلام کرده که برخلاف برخی گزارش‌ها، هنوز شواهدی از سوءاستفاده این گروه از آسیب‌پذیری‌های دیگر مانند CVE-2023-20198  و CVE-2023-20273  پیدا نکرده است. با این حال، نکته مهم این است که مهاجمان از اطلاعات ورود معتبر و سرقت‌شده برای دسترسی اولیه به شبکه‌ها استفاده کرده‌اند. روش دقیق سرقت این اطلاعات هنوز مشخص نیست، اما شواهد نشان می‌دهد که آن‌ها از طریق پیکربندی‌های تجهیزات شبکه و تحلیل حساب‌های محلی با رمزهای ضعیف، تلاش کرده‌اند تا به اعتبارنامه‌های بیشتری دسترسی پیدا کنند.

به گفته Talos، گروه Salt Typhoon همچنین ترافیک SNMP، TACACSو RADIUSرا رهگیری کرده و کلیدهای مخفی مربوط به ارتباط بین تجهیزات شبکه و سرورهای TACACS/RADIUS را استخراج کرده‌اند. هدف اصلی این اقدام، به دست آوردن اطلاعات احراز هویت بیشتر برای حملات بعدی بوده است.

تکنیک‌های پیشرفته برای دور زدن تدابیر امنیتی

یکی دیگر از تاکتیک‌های این گروه، استفاده از تکنیک‌های "living-off-the-land  " (LOTL) است. مهاجمان از تجهیزات شبکه موجود به عنوان نقاط محوری استفاده کرده و از طریق آن‌ها به سایر شرکت‌های مخابراتی نفوذ کرده‌اند.

بر اساس تحلیل سیسکو، این گروه با ایجاد حساب‌های محلی، فعال‌سازی Guest Shell و پیکربندی دسترسی از راه دور SSH، تغییرات مخربی در تنظیمات شبکه ایجاد کرده است. یکی از ابزارهای اختصاصی که توسط آن‌ها استفاده شده، JumbledPath  نام دارد که به آن‌ها اجازه می‌دهد ترافیک شبکه را از راه دور روی یک دستگاه سیسکو ضبط کنند.

این بدافزار که بر پایه زبان Go توسعه یافته، قابلیت‌هایی از جمله پاک کردن گزارش‌ها و غیرفعال کردن ثبت لاگ‌ها را نیز دارد تا شناسایی فعالیت‌های مخرب را برای کارشناسان امنیتی دشوار کند. این گروه حتی به طور دوره‌ای لاگ‌های Bash، auth.log، lastlog، wtmp  و btmp را پاک کرده تا ردپای خود را از بین ببرد.

حتما بخوانید: حمله سایبری گسترده به بیمارستان‌های آمریکا | اطلاعات 883 هزار بیمار به سرقت رفت!

سوءاستفاده از تجهیزات سیسکو برای حملات بعدی

سیسکو اعلام کرده که این گروه آدرس رابط Loopback را روی یک سوییچ آلوده تغییر داده و از آن برای برقراری ارتباط SSH با سایر دستگاه‌های شبکه هدف استفاده کرده است.  این روش به آن‌ها امکان داده تا لیست‌های کنترل دسترسی (ACL) را دور بزنند و بدون شناسایی، در شبکه حرکت کنند.

همچنین، فعالیت‌های دیگری مرتبط با سوءاستفاده از پروتکل Smart Install (SMI) سیسکو و آسیب‌پذیری CVE-2018-0171 شناسایی شده است. اما به گفته سیسکو، این فعالیت‌ها به گروه Salt Typhoon ارتباطی ندارند و تاکنون با هیچ گروه تهدید شناخته‌شده‌ای همپوشانی نداشته‌اند.

نتیجه‌گیری

حمله گروه Salt Typhoon  به شبکه‌های مخابراتی آمریکا بار دیگر نشان داد که آسیب‌پذیری‌های قدیمی و استفاده از اطلاعات ورود سرقت‌شده همچنان یکی از رایج‌ترین روش‌های نفوذ مهاجمان پیشرفته است. این گروه با ترکیب سوءاستفاده از CVE-2018-0171، سرقت اعتبارنامه‌ها، رهگیری ترافیک شبکه و اجرای تکنیک‌های مخفی‌کاری، توانسته برای بیش از سه سال در محیط‌های هدف باقی بماند.

این حمله اهمیت به‌روزرسانی مداوم تجهیزات شبکه، استفاده از مکانیزم‌های احراز هویت قوی، نظارت بر لاگ‌ها و جلوگیری از تنظیمات ناامن را بیش از پیش برجسته می‌کند. سازمان‌ها باید با بستن آسیب‌پذیری‌های شناخته‌شده، استفاده از احراز هویت چندعاملی (MFA) و نظارت مستمر بر فعالیت‌های غیرمعمول، راه نفوذ مهاجمان را مسدود کنند.

با توجه به پیچیدگی و مدت زمان این حملات، انتظار می‌رود APT های تحت حمایت دولت‌ها همچنان تهدیدی جدی برای زیرساخت‌های حساس باشند.  افزایش آگاهی امنیتی، پیاده‌سازی سیاست‌های سخت‌گیرانه دسترسی و اجرای تحلیل‌های تهدیدات پیشرفته، کلیدهای اصلی دفاع در برابر چنین حملات پیچیده‌ای هستند.