Um grupo de invasores que conseguiu invadir os sistemas de operadoras de telecomunicações americanas usou credenciais de login roubadas, afirma a Cisco. Em uma análise, a empresa de rede disse que alguns dos sistemas ficaram comprometidos por mais de três anos sem serem notados. O grupo invasor é chamado de ‘Salt Typhoon’ e diz-se que está envolvido principalmente em espionagem.
Leia também
APT chinês busca dispositivos Cisco em operadoras
Nuvem é usada para espionar operadoras de telecom
Na semana passada, a empresa de segurança Recorded Future relatou , com base em sua própria pesquisa, que o grupo havia usado diversas vulnerabilidades da Cisco para comprometer sistemas. Nos sistemas investigados pela Cisco, os invasores conseguiram obter acesso inicial usando credenciais de login roubadas, disse a empresa de rede. Não se sabe como os invasores conseguiram obter esses detalhes de login.
Um sistema Cisco foi comprometido por uma vulnerabilidade antiga (CVE-2018-0171), mas a Cisco disse que não poderia atribuir essa atividade ao Salt Typhoon. Em muitos casos, os invasores parecem roubar a configuração do dispositivo, que geralmente inclui credenciais confidenciais, como strings de comunidade SNMP Read/Write (R/W) e contas locais com o que a Cisco chama de “tipos de criptografia de senha fraca”. De acordo com a empresa, fica fácil para um invasor descriptografar a senha offline.
Além disso, os sistemas comprometidos contêm informações sobre a rede, que os invasores usam para atacar outras máquinas na rede. Por exemplo, o grupo usou o sistema comprometido de uma operadora de telecomunicações para atacar o sistema de outra operadora de lá. Além disso, os invasores usam todos os tipos de ferramentas para modificar logs ou impedir o registro.
Na análise, a Cisco faz várias recomendações, como desabilitar o servidor web não criptografado em sistemas Cisco, acesso ao shell de convidado e telnet, usar ‘senhas tipo 8’ para contas locais, usar ‘tipo 6 para configuração de chave TACACS+’ e desabilitar o recurso Smart Install. Por fim, é recomendável corrigir ou substituir dispositivos antigos com vulnerabilidades conhecidas.
