Cisco ha confirmado que un grupo de ciberespionaje chino, conocido como Salt Typhoon, obtuvo acceso a redes críticas, probablemente explotando una vulnerabilidad conocida como CVE-2018-0171. Este ataque afectó a importantes empresas de telecomunicaciones en Estados Unidos, permitiendo a los atacantes infiltrarse y mantener acceso durante años mediante credenciales legítimas robadas.
El equipo de Cisco Talos, especializado en ciberseguridad, identificó que los atacantes mostraron una alta capacidad para persistir en los entornos comprometidos. De hecho, lograron mantenerse dentro de una red específica durante más de tres años, lo que evidencia una planificación meticulosa y recursos avanzados.
Salt Typhoon: una amenaza persistente y bien financiada
Según Cisco Talos, la campaña de Salt Typhoon refleja características propias de los grupos de Amenaza Persistente Avanzada (APT) patrocinados por el Estado. Estas organizaciones suelen operar con un alto grado de coordinación, paciencia y sofisticación, lo que les permite evadir la detección durante largos períodos.
A pesar de las investigaciones en curso, Cisco no ha encontrado evidencia de que Salt Typhoon haya explotado otras vulnerabilidades recientes. Esto contrasta con un informe de Recorded Future, que documentó intentos de ataque utilizando CVE-2023-20198 y CVE-2023-20273.
¿Cómo lograron infiltrarse en las redes?
Uno de los aspectos clave de la operación de Salt Typhoon es el uso de credenciales válidas robadas para obtener acceso inicial a los sistemas. Sin embargo, aún se desconoce el método exacto que utilizaron para obtenerlas.
Los investigadores han detectado varias estrategias empleadas por los atacantes:
✔ Acceso a configuraciones de dispositivos de red para extraer credenciales.
✔ Descifrado de contraseñas locales con niveles de seguridad deficientes.
✔ Captura de tráfico SNMP, TACACS y RADIUS, incluyendo claves secretas utilizadas en la autenticación de dispositivos de red.
Este último punto es especialmente preocupante, ya que permite a los atacantes enumerar credenciales adicionales para futuras intrusiones.
Técnicas avanzadas de ataque: aprovechando la infraestructura confiable
Salt Typhoon no solo roba credenciales, sino que emplea tácticas avanzadas para garantizar su persistencia y movilidad dentro de las redes comprometidas. Uno de los métodos más utilizados es el «Living off the Land» (LOTL), una técnica que aprovecha las herramientas y sistemas legítimos del entorno para ocultar su actividad maliciosa.
Además, los atacantes han utilizado los dispositivos comprometidos como puntos de pivote para moverse entre diferentes redes de telecomunicaciones. Se cree que estos dispositivos sirven como relés intermedios para:
🔹 Acceder a su objetivo final sin levantar sospechas.
🔹 Realizar operaciones de exfiltración de datos.
🔹 Mantenerse ocultos durante largos periodos.
Alteraciones en la configuración de red y uso de herramientas personalizadas
Cisco Talos ha detectado que Salt Typhoon manipula configuraciones de red para facilitar el acceso y evitar la detección. Algunas de las acciones identificadas incluyen:
✔ Creación de cuentas locales en dispositivos comprometidos.
✔ Habilitación del acceso remoto mediante SSH.
✔ Uso de «Guest Shell» para ejecutar comandos en el sistema.
Adicionalmente, los atacantes han desplegado una herramienta personalizada llamada JumbledPath, desarrollada en Go y diseñada específicamente para capturar paquetes en dispositivos Cisco remotos. Esta herramienta es capaz de:
🔹 Ejecutar capturas de tráfico en hosts comprometidos.
🔹 Borrar registros de actividad para evitar la detección.
🔹 Desactivar el registro de eventos en los sistemas atacados.
La eliminación sistemática de registros incluye archivos clave como .bash_history, auth.log, lastlog, wtmp y btmp, dificultando el análisis forense y la identificación de los atacantes.
Evasión de controles de seguridad: modificación de interfaces y tráfico enmascarado
Para evadir las listas de control de acceso (ACLs) y otras medidas de seguridad, Salt Typhoon ha implementado modificaciones en la dirección de la interfaz de bucle invertido en switches comprometidos. Gracias a esta técnica, los atacantes pueden:
🔹 Utilizar la interfaz de bucle invertido como origen de conexiones SSH.
🔹 Eludir restricciones de acceso establecidas en los dispositivos.
🔹 Mantener la comunicación con otros dispositivos en la red sin ser detectados.
Esta estrategia refuerza aún más su capacidad de persistencia y evasión de controles de seguridad.
Ataques a dispositivos Cisco con Smart Install (SMI)
Cisco también ha detectado intentos de explotación en dispositivos con Smart Install (SMI) expuesto, utilizando la vulnerabilidad CVE-2018-0171. No obstante, esta actividad no parece estar relacionada directamente con Salt Typhoon, y hasta el momento no se ha atribuido a ningún actor de amenazas específico.
Una amenaza en evolución
El grupo Salt Typhoon representa una seria amenaza para las empresas de telecomunicaciones en EE.UU., utilizando métodos sofisticados para infiltrarse y mantenerse oculto en las redes comprometidas.
Las principales conclusiones de la investigación de Cisco incluyen:
✔ Persistencia de largo plazo, con ataques que han durado hasta tres años.
✔ Uso de credenciales robadas y captura de tráfico para obtener más accesos.
✔ Empleo de herramientas avanzadas como JumbledPath para ofuscar su actividad.
✔ Movilidad lateral dentro de redes de telecomunicaciones mediante técnicas LOTL.
Ante estos riesgos, es fundamental que las organizaciones adopten medidas de seguridad proactivas, como:
🔹 Actualizar y parchear sistemas vulnerables.
🔹 Fortalecer las políticas de contraseñas.
🔹 Monitorear el tráfico de red en busca de actividades sospechosas.
🔹 Limitar el acceso SSH y reforzar controles de autenticación.
El ciberespionaje está en aumento, y las empresas deben estar preparadas para enfrentar ataques sofisticados como los de Salt Typhoon.
Fuente: The Hacker News
