Un actor de amenazas muy avanzado, denominado «Salt Typhoon», ha estado implicado en una serie de ciberataques dirigidos a las principales redes de telecomunicaciones de Estados Unidos, según un informe de Cisco Talos.
La campaña, que comenzó a finales de 2024 y fue confirmada por el gobierno de EE. UU., implica explotar vulnerabilidades en dispositivos Cisco y aprovechar credenciales robadas para infiltrarse en infraestructura crítica.
Explotación de vulnerabilidades de Cisco
Las operaciones de Salt Typhoon se han caracterizado por el uso de credenciales legítimas y vulnerabilidades conocidas en dispositivos Cisco para obtener acceso a sistemas centrales de redes.
Si bien el grupo se basó principalmente en credenciales de inicio de sesión robadas, un caso confirmado involucró la explotación de CVE-2018-0171, una vulnerabilidad en la función Smart Install de Cisco.
Esta falla permite la ejecución remota de código y se ha relacionado con incidentes cibernéticos anteriores.
Además, hay informes no verificados que sugieren que Salt Typhoon puede haber intentado explotar otras vulnerabilidades conocidas, incluidas CVE-2023-20198, CVE-2023-20273 y CVE-2024-20399.
A pesar de estos exploits, durante la investigación no se descubrieron nuevas vulnerabilidades.
Cisco Talos enfatizó la importancia de parchear los sistemas y adherirse a las mejores prácticas para mitigar los riesgos asociados con estas fallas conocidas.
Técnicas y Persistencia
Salt Typhoon demostró técnicas avanzadas de persistencia, manteniendo el acceso a redes comprometidas durante períodos prolongados de hasta tres años en algunos casos.
El grupo empleó tácticas de “vivir de la tierra” (LOTL), utilizando herramientas de red integradas para evitar la detección.
Las actividades clave incluyeron:
- Recolección de credenciales: captura de tráfico SNMP, TACACS+ y RADIUS para recopilar datos de autenticación confidenciales.
- Exfiltración de configuración: extracción de configuraciones de dispositivos que contienen contraseñas y detalles de red débilmente cifrados.
- Pivote de infraestructura: moverse lateralmente a través de redes aprovechando los dispositivos comprometidos como puntos de salto.
- Modificaciones de configuración: alteración de la configuración del dispositivo, como listas de control de acceso (ACL), interfaces de bucle invertido y creación de cuentas locales no autorizadas.
Los atacantes también utilizaron herramientas personalizadas como «JumbledPath», una utilidad diseñada para la captura remota de paquetes mientras ocultan sus actividades a través de conexiones de múltiples saltos.
Para evadir la detección, Salt Typhoon borraba con frecuencia registros (por ejemplo, .bash_history, auth.log) y restauraba las configuraciones del dispositivo a su estado original después de completar actividades maliciosas.
También modificaron los servidores de autenticación y utilizaron servidores SSH de alto puerto para un acceso persistente.
Cisco Talos recomienda una supervisión sólida de los syslogs, los registros AAA y el comportamiento de la red en busca de actividad inusual.
Se recomienda a las organizaciones que implementen una gestión de configuración integral, habiliten la autenticación multifactor (MFA) y deshabiliten servicios innecesarios como Smart Install.
Si bien el sector de las telecomunicaciones ha sido el objetivo principal de esta campaña, Cisco Talos advierte que las técnicas empleadas por Salt Typhoon podrían aplicarse en diversas industrias.
La prolongada duración de estos ataques subraya la necesidad de una mayor vigilancia contra las amenazas persistentes avanzadas (APT) capaces de infiltrarse profundamente en la infraestructura crítica.
Esta investigación en curso destaca la importancia de medidas proactivas de ciberseguridad, incluidas actualizaciones periódicas, una sólida gestión de credenciales y segmentación de la red.
