Компания Cisco Talos следит за крупными американскими телекоммуникационными компаниями и обнаружила широкомасштабные вторжения, осуществляемые злоумышленником, названным Salt Typhoon.
Salt Typhoon APT
Злоумышленник проникал в сетевую инфраструктуру и собирал информацию. Однако не обнаружено новых уязвимостей Cisco. Предупреждение относится не только к телекоммуникационной отрасли, но и к другим секторам.
Главной особенностью кампании стало использование технологий "живого" доступа к сетевым устройствам. В ходе кампании злоумышленники использовали учетные данные жертв, к которым получили доступ. Они поддерживали доступ во взломанные сети в течение продолжительного времени, до трех лет.
Salt Typhoon воровал конфигурации устройств по протоколам TFTP и FTP. Конфигурации содержали информацию для аутентификации, включая строки сообщества SNMP и локальные учетные записи с слабым шифрованием пароля. Это помогало злоумышленнику получить дополнительные учетные данные и исследовать сеть.
Злоумышленник перемещался через скомпрометированную инфраструктуру, чтобы оставаться незамеченным. Он также переключался на устройства других телекоммуникационных компаний и использовал их как точки перехода. Некоторые из этих устройств использовались для утечки данных.
Cisco Talos рекомендует следовать лучшим практикам защиты сетевой инфраструктуры и исправить уязвимости, такие как CVE-2018-0171, CVE-2023-20198, CVE-2023-20273 и CVE-2024-20399. Важно обратить внимание на общественно доступные вредоносные инструменты, которые используются для эксплуатации этих уязвимостей.
Поэтому организациям следует принять меры по улучшению безопасности и защите сетевой инфраструктуры, в том числе использовать сильные пароли и шифрование. Компаниям рекомендуется установить исправления, предоставляемые Cisco, и быть бдительными в отношении активности в своих сетях, чтобы предотвратить подобные атаки.
Indicators of Compromise
IPv4
- 185.141.24.28
- 185.82.200.181