Китайские хакеры Salt Typhoon, спонсируемые государством, использовали утилиту JumbledPath в своих атаках на американских телекоммуникационных провайдеров для скрытого мониторинга сетевого трафика и потенциальной кражи конфиденциальных данных, говорится в новом отчете Cisco. В отчете, опубликованном Cisco Talos 20 февраля, исследователи подтвердили, что Salt Typhoon получил доступ к базовой сетевой инфраструктуре через устройства Cisco, а затем использовал эту инфраструктуру для сбора разнообразной информации. Типичный подход Salt Typhoon к получению первоначального доступа к устройствам Cisco заключался в том, что субъект угрозы получал законные учетные данные жертвы для входа в систему с использованием методов проживания за пределами суши (LOTL) на сетевых устройствах. Одним из главных разоблачений отчета было то, что Salt Typhoon использовал JumbledPath, специально созданную утилиту, позволяющую субъекту угрозы выполнять перехват пакетов на удаленном устройстве Cisco через определенный субъектом узел перехода. Методы, тактика и процедуры Salt Typhoon Согласно Cisco Talos, Salt Typhoon использовал украденные учетные данные и активно пытался украсть больше, ориентируясь на слабое хранилище паролей, конфигурации сетевых устройств и перехватывая трафик аутентификации. Группа крала конфигурации устройств, часто через TFTP / FTP, чтобы получить доступ к конфиденциальной информации, такой как строки SNMP и слабо зашифрованные пароли, которые затем можно было легко расшифровать, и понять топологию сети для дальнейших атак. JumbledPath, утилита, написанная на Go и скомпилированная в виде двоичного файла ELF с использованием архитектуры x86-64, была обнаружена в экземплярах гостевой оболочки, настроенных пользователем, на устройствах Cisco Nexus. Гостевая оболочка - это виртуальная среда на базе Linux, которая работает на устройствах Cisco и позволяет пользователям выполнять команды и утилиты Linux. Он использовался для изменения конфигураций сетевых устройств, попытки очистки журналов, нарушения ведения журнала по пути перехода и возврата результирующего сжатого, зашифрованного захвата через другую уникальную серию подключений или переходов, определенных участником. “Это позволило субъекту угрозы создать цепочку подключений и выполнить перехват на удаленном устройстве”, - сказали исследователи Talos. “Использование этой утилиты помогло бы скрыть исходный источник и конечное назначение запроса, а также позволило бы его оператору перемещаться через потенциально недоступные для общественности (или маршрутизируемые) устройства или инфраструктуру”.  Источник: Cisco Talos Затем группа перемещалась в пределах скомпрометированных сетей и между различными провайдерами связи, используя скомпрометированные устройства в качестве трамплинов для достижения других целей и избежания обнаружения. Наконец, субъект угрозы неоднократно очищал соответствующие журналы, чтобы скрыть свои действия, включая .bash_history, auth.log, lastlog, wtmp и btmp, где это применимо. Во многих случаях доступ к командной оболочке был восстановлен до нормального состояния с помощью команды “guestshell disable”. Субъект угрозы изменил настройки сервера аутентификации, авторизации и учета (AAA), установив под своим контролем дополнительные адреса, чтобы обойти системы контроля доступа. Эксплойт уязвимости Cisco, не связанный с Salt Typhoon В ходе своих расследований исследователи Talos обнаружили дополнительное нацеливание на устройства Cisco со злоупотреблением CVE-2018-0171, устаревшей уязвимостью в функции Smart Install (SMI) программного обеспечения Cisco IOS и Cisco IOS XE. Однако исследователи отметили, что эта деятельность, по-видимому, не связана с операциями Salt Typhoon. “Мы пока не смогли приписать это конкретному участнику. IP-адреса, представленные в качестве наблюдаемых ниже, связаны с этой потенциально несвязанной активностью SMI”, - добавили они.