Kelompok peretasan Typhoon Garam yang disponsori negara Cina menggunakan utilitas khusus yang disebut JumbledPath untuk secara diam-diam memantau lalu lintas jaringan dan berpotensi menangkap data sensitif dalam serangan cyber pada penyedia telekomunikasi AS.
Salt Typhoon (alias Earth Estries, Ghostemperor, dan UNC2286) adalah kelompok peretasan canggih yang aktif sejak setidaknya 2019, terutama berfokus pada melanggar entitas pemerintah dan perusahaan telekomunikasi.
Baru -baru ini, pihak berwenang AS telah mengkonfirmasi bahwa topan garam berada di belakang beberapa pelanggaran yang berhasil Penyedia Layanan Telekomunikasi Di AS, termasuk Verizon, AT&T, Lumen Technologies, dan T-Mobile.
Kemudian terungkap bahwa topan garam berhasil Ketuk ke dalam komunikasi pribadi Dari beberapa pejabat pemerintah AS dan mencuri informasi terkait dengan permintaan penyadapan yang diuthami pengadilan.
Pekan lalu, Grup Insikt Future Rekaman melaporkan bahwa Topan Garam menargetkan lebih dari 1.000 perangkat jaringan Ciscolebih dari setengah dari AS, Amerika Selatan, dan India, antara Desember 2024 dan Januari 2025,
Hari ini, Cisco Talos mengungkapkan rincian lebih lanjut tentang aktivitas aktor ancaman ketika mereka melanggar perusahaan telekomunikasi besar di AS, yang dalam beberapa kasus berlangsung selama tiga tahun.
Taktik Typhoon Garam
Cisco mengatakan peretas topan garam menyusup ke infrastruktur jejaring inti terutama melalui kredensial curian. Terlepas dari satu kasus yang melibatkan eksploitasi Cisco CVE-2018-0171 Flaw, perusahaan cybersecurity tidak melihat kelemahan lain, yang diketahui atau zero-days, dieksploitasi dalam kampanye ini.
“Tidak ada kerentanan Cisco baru yang ditemukan selama kampanye ini,” menyatakan cisco talos dalam laporannya. “Meskipun ada beberapa laporan bahwa topan garam menyalahgunakan tiga kerentanan Cisco yang diketahui, kami belum mengidentifikasi bukti apa pun untuk mengkonfirmasi klaim ini.”
Sementara topan garam terutama memperoleh akses ke jaringan yang ditargetkan menggunakan kredensial curian, metode yang tepat untuk mendapatkan kredensial masih belum jelas.
Setelah masuk, mereka memperluas akses mereka dengan mengekstraksi kredensial tambahan dari konfigurasi perangkat jaringan dan mencegat lalu lintas otentikasi (SNMP, TACAC, dan RADIUS).
Mereka juga mengesampingkan konfigurasi perangkat atas TFTP dan FTP untuk memfasilitasi pergerakan lateral, yang berisi data otentikasi sensitif, kata sandi yang dienkripsi dengan lemah, dan detail pemetaan jaringan.
Para penyerang menunjukkan teknik canggih untuk akses dan penghindaran yang persisten, termasuk sering berputar di antara berbagai perangkat jaringan untuk menyembunyikan jejak mereka dan menggunakan perangkat tepi yang dikompromikan untuk berputar ke jaringan telekomunikasi mitra.
Aktor ancaman juga diamati memodifikasi konfigurasi jaringan, memungkinkan akses shell tamu untuk menjalankan perintah, mengubah daftar kontrol akses (ACL), dan membuat akun tersembunyi.
Sumber: Cisco
Malware JumbledPath khusus
Komponen utama dari serangan topan garam adalah memantau aktivitas jaringan dan mencuri data menggunakan alat penangkap paket seperti TCPDUMP, TPACAP, tangkapan paket tertanam, dan alat khusus yang disebut Jumbledpath.
JumpedPath adalah Binary ELF berbasis GO yang dibangun untuk sistem berbasis X86_64 yang memungkinkannya berjalan pada berbagai perangkat jaringan tepi dari berbagai produsen, termasuk perangkat Cisco Nexus.
Jumbledpath memungkinkan topan garam untuk memulai penangkapan paket pada perangkat Cisco yang ditargetkan melalui jump-host, sistem perantara yang membuat permintaan penangkapan muncul seolah-olah mereka berasal dari perangkat tepercaya di dalam jaringan sambil juga mengaburkan lokasi penyerang yang sebenarnya.
Sumber: Cisco
Alat yang sama juga dapat menonaktifkan penebangan dan menghapus log yang ada untuk menghapus jejak aktivitasnya dan membuat investigasi forensik lebih sulit.
Cisco mencantumkan beberapa rekomendasi untuk mendeteksi aktivitas topan garam, seperti pemantauan untuk aktivitas SSH yang tidak sah pada port non-standar, melacak anomali log, termasuk file ‘.bash_history’ yang hilang atau luar biasa, dan memeriksa perubahan konfigurasi yang tidak terduga.
Selama beberapa tahun terakhir, aktor ancaman Cina semakin menargetkan perangkat jaringan tepi untuk menginstal malware khusus yang memungkinkan mereka memantau komunikasi jaringan, mencuri kredensial, atau bertindak sebagai server proksi untuk serangan yang disampaikan.
Serangan-serangan ini menargetkan produsen terkenal, termasuk Fortinet, Barracuda, SonicwallPeriksa Titik, D-Link, Cisco, Juniper, Netgear, dan Sophos.
Sementara banyak dari serangan ini mengeksploitasi kerentanan zero-hari, perangkat lain dilanggar melalui kredensial yang dikompromikan atau kerentanan yang lebih tua. Oleh karena itu, admin harus menerapkan tambalan ke perangkat jaringan tepi segera setelah tersedia.
