Статья Salt Typhoon APT атаки на телеком: TTP, детект и Sigma-правила

Крупный план маршрутизатора Cisco на чёрном антистатическом коврике: повреждённый чип под лучом лампы, выжженный след на плате, гравировка с идентификатором уязвимости.


По данным Cisco, в одном из подтверждённых кейсов группа удерживала доступ к инфраструктуре телеком-оператора свыше трёх лет. Три года. Среди жертв - AT&T, Verizon, T-Mobile, Lumen Technologies, Charter Communications и ещё минимум четыре крупных американских оператора. При этом Salt Typhoon не разворачивал классический malware на конечных точках - группа живёт за счёт штатных инструментов сетевых устройств. Для security-инженера, который настраивает правила корреляции в SIEM и отвечает за мониторинг телеком-инфраструктуры, это означает одно: привычные detection-сценарии для endpoint-угроз здесь бесполезны. Ниже - kill chain Salt Typhoon с привязкой к MITRE ATT&CK, конкретные Sigma-правила для детекта и чеклист для hardening сетевых устройств.

Бизнес-логика атаки: зачем China APT идёт в телеком-инфраструктуру​

Salt Typhoon - APT-группа, связанная с китайским государством (PRC state-affiliated). Активна как минимум с 2019 года, специализируется на долгосрочном кибершпионаже. В threat intelligence отчётах встречается под разными именами - для кросс-референсирования это критично:

ВендорАлиас
MicrosoftSalt Typhoon
Trend MicroEarth Estries (частично пересекающийся кластер)
KasperskyGhostEmperor [пересекающийся, но не тождественный кластер]
ESETFamousSparrow [пересекающийся, но не тождественный кластер]
Mandiant/GTIGПубличный алиас не опубликован

Телеком-инфраструктура - не случайная мишень. Получив контроль над маршрутизаторами и коммутаторами оператора связи, группа решает три стратегические задачи одновременно.

Перехват коммуникаций высокопоставленных лиц. По данным WSJ, среди скомпрометированных систем были платформы законного перехвата (lawful intercept), используемые операторами для исполнения запросов в рамках CALEA (Communications Assistance for Law Enforcement Act). Это позволяет отслеживать не только звонки абонентов, но и запросы спецслужб на прослушку - по сути, контрразведка через чужую инфраструктуру.

Картографирование сетевой инфраструктуры. Конфигурации маршрутизаторов содержат BGP-пиринги, VPN-туннели, ACL-списки, TACACS+-серверы - полную карту внутренней сети оператора. Для state-sponsored группы это разведданные стратегического уровня.

Предпозиционирование. В отличие от большинства APT, которые проникают, извлекают данные и уходят, Salt Typhoon делает ставку на persistence. Сохранение доступа позволяет при необходимости нарушить работу сетей связи. По данным CrowdStrike Global Threat Report 2025, активность China-nexus adversaries выросла на 150% год к году. Согласно IBM X-Force Threat Intelligence Index 2025, 70% атак, расследованных X-Force, затронули критическую инфраструктуру. Телеком - один из приоритетных секторов.

Тут стоит сравнить с Volt Typhoon - другой PRC-affiliated группой. Volt Typhoon фокусируется на энергетической и транспортной инфраструктуре с целью подготовки к потенциальному конфликту, Salt Typhoon работает именно в телекоме, обеспечивая intelligence collection и surveillance. Обе группы объединяет living-off-the-land подход, но цели и инфраструктура различаются.

MITRE ATT&CK картография Salt Typhoon TTP

Salt Typhoon действует по структурированной многоступенчатой модели. Ниже - карта подтверждённых TTP на основе joint advisory CISA AA25-239A и отчётов Cisco Talos, Trend Micro и Mandiant.

MITRE ATT&CK IDТактикаТехникаКак применяет Salt Typhoon
T1190Initial AccessExploit Public-Facing ApplicationЭксплуатация CVE-2018-0171 и уязвимостей в VPN/firewall
T1078Initial Access, Persistence, Privilege EscalationValid AccountsЛегитимные учётные данные - основной вектор входа
T1059.008ExecutionNetwork Device CLIКоманды через CLI Cisco IOS/IOS XE
T1505.003PersistenceWeb ShellВеб-шеллы на скомпрометированных серверах
T1584.008Resource DevelopmentNetwork DevicesВзломанные устройства как pivot-точки
T1602CollectionData from Configuration RepositoryДамп running-config для сбора разведданных (через CLI - совместно с T1059.008)
T1020.001ExfiltrationTraffic DuplicationЗеркалирование трафика через SPAN/ERSPAN
T1572Command and ControlProtocol TunnelingGRE/IPsec-туннели для скрытого C2

Среднее время lateral movement после initial access, по данным CrowdStrike, составляет 62 минуты (рекорд - 51 секунда). Но Salt Typhoon - не про скорость, а про незаметность: группа разворачивает операции неделями и месяцами.

Initial Access: CVE-2018-0171 и валидные учётные данные​

Salt Typhoon использует два основных вектора проникновения. Второй значительно важнее первого.

CVE-2018-0171: Cisco Smart Install

CVE-2018-0171 - активно эксплуатируемая уязвимость (CISA KEV) в функции Smart Install Cisco IOS и IOS XE. CVSS 3.1: 9.8 (CRITICAL), вектор CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H. Разбор компонентов:
  • AV:N - атака по сети
  • AC:L - низкая сложность эксплуатации
  • PR:N - привилегии не требуются
  • UI:N - взаимодействие пользователя не нужно
Уязвимость вызвана двумя проблемами: CWE-20 (Improper Input Validation) и CWE-787 (Out-of-bounds Write). Атакующий отправляет crafted Smart Install-пакет на TCP-порт 4786 - результат: перезагрузка (DoS) или выполнение произвольного кода.

Публичный PoC доступен с марта 2018 года (EDB-44451, автор embedi). CISA включила уязвимость в каталог KEV 2021-11-03 с due date 2022-05-03 для федеральных агентств. В ProjectDiscovery nuclei-templates есть готовый шаблон: CVE-2018-0171.yaml. По данным AlienVault OTX, уязвимость остаётся в активной эксплуатации - свежие пульсы с тегом actively_exploited_kev обновляются ежедневно.

Но вот что интересно: Cisco Talos уточняет, что из множества расследованных инцидентов Salt Typhoon только один подтвердил эксплуатацию именно CVE-2018-0171. Остальные - через второй вектор.

Valid Accounts (T1078): основной вектор

По данным CrowdStrike, 75% всех вторжений в 2024 году использовали действительные учётные данные. IBM X-Force фиксирует рост credential-based атак на 71% год к году.

Salt Typhoon получает credentials через перехват TACACS+-трафика, модификацию конфигурации AAA-серверов и компрометацию административных аккаунтов. После первичного доступа группа создаёт дополнительные учётные записи и модифицирует ACL - обеспечивая себе несколько независимых путей входа. Убили один аккаунт - остались ещё три.

Persistence и lateral movement: JumbledPath и living-off-the-land​

Salt Typhoon минимизирует кастомный malware на ранних этапах, предпочитая штатные инструменты скомпрометированных устройств. По сути, группа воюет вашим же оружием.

Guest Shell как контейнер для инструментов. На устройствах Cisco с поддержкой IOx группа активирует Guest Shell - встроенную Linux-среду. Через guestshell enable атакующий получает полноценный Linux-шелл на маршрутизаторе для размещения инструментов, невидимых стандартному мониторингу IOS. Маршрутизатор становится полноценным плацдармом - а SOC видит только «штатную функцию».

SSH на нестандартных портах. Для постоянного доступа создаются SSH-серверы на высоких портах. Мониторинг стандартного порта 22 - мимо.

JumbledPath. Ключевой кастомный инструмент - утилита для удалённого перехвата пакетов через цепочку скомпрометированных устройств. По данным Cisco Talos, JumbledPath написан на Go и скомпилирован как ELF-бинарь. Инструмент устанавливает серию соединений через промежуточные устройства, что затрудняет определение реального источника перехвата. Обнаружен на скомпрометированных Cisco Nexus.

GRE/IPsec-туннели (T1572). Для C2-коммуникации используются протоколы GRE и IPsec - выглядят как легитимные WAN-соединения и не вызывают алертов в стандартных правилах. Попробуйте отличить GRE-туннель атакующего от штатного WAN-линка в сети с тысячей маршрутизаторов - удачи.

Серверный арсенал. На серверах (за пределами сетевых устройств) Salt Typhoon разворачивает бэкдор GhostSpider (по данным Trend Micro, разработан специально для телеком-сетей), руткит Demodex (kernel-mode), Cobalt Strike, а также SnappyBee и HemiGate. DLL sideloading выполняется через легитимное ПО: Norton, Bkav, IObit.

Sigma-правила для обнаружения APT в телеком-сетях​

📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме

Правило 2: Активация Guest Shell - индикатор persistence (T1059.008)
YAML:
title: Cisco Guest Shell Activation - Persistence Indicator
status: experimental
logsource:
  product: cisco
  service: syslog
detection:
  selection:
    message|contains:
      - 'guestshell enable'
      - 'guestshell run'
      - 'app-hosting appid'
      - 'iox-service'
  condition: selection
level: critical
Guest Shell - легитимная функция Cisco IOS XE, но на продакшн-маршрутизаторах многих операторов она не используется. Если прилетел алерт на guestshell enable в три ночи - это не плановые работы, это повод поднимать дежурную смену.

Правило 3 (текстовое описание): Traffic Duplication - SPAN/ERSPAN (T1020.001). Ищите появление команд monitor session, destination remote, erspan-id вне планового maintenance window. В Splunk это реализуется фильтром index=cisco sourcetype=syslog "monitor session" с корреляцией по change management тикетам.

Правило 4 (текстовое описание): SSH на нестандартном порту. Мониторьте паттерн ip ssh port с номером порта, отличным от 22, или конфигурационные изменения line vty с привязкой к нетипичным портам.

Выбор источника логов зависит от конкретного TTP:

Источник логовПокрываемые TTPОграниченияКогда использовать
Cisco SyslogT1078, T1059.008, T1602Не все LOTL-команды генерируют событияБазовый детект на всех устройствах
TACACS+ AccountingT1078, T1059.008Только AAA-событияАудит credential use и command logging
Netflow/IPFIXT1020.001, T1572Не видит содержимое трафикаОбнаружение аномальных потоков и туннелей
Config Diff (RANCID/Oxidized)T1505.003, persistenceНе реалтайм, интервал от 1 часаЕженедельный аудит конфигураций

Ограничения детекта на сетевых устройствах​

Обнаружение APT на сетевых устройствах принципиально отличается от endpoint-мониторинга. И тут есть объективные проблемы, о которых стоит сказать честно.

Ограниченная телеметрия. Cisco IOS генерирует значительно меньше данных, чем Windows с EDR-агентом. Нет аналога ETW-провайдеров, нет полного command-line logging по умолчанию. Syslog покрывает только события, которые IOS считает достаточно важными - а Salt Typhoon целенаправленно использует команды, не генерирующие syslog по дефолту. Вы слепы именно там, где вас ломают.

Tamper-доступ к логам. Контролируя устройство, атакующий контролирует и его логи. Salt Typhoon может очищать buffer до отправки на коллектор. Mitigation: syslog в режиме streaming (не buffer-first) по надёжному транспорту на внешний коллектор.

Baseline-проблема. В крупных телеком-сетях с тысячами маршрутизаторов создание baseline нормального поведения занимает от нескольких недель до нескольких месяцев. Без baseline правила генерируют или тысячи false positive, или пропускают реальные атаки. Золотой середины не бывает - бывает долгая кропотливая настройка.

LOTL-слепота. Когда атакующий выполняет show running-config, это та же команда, которую ежедневно запускает сетевой инженер. Детект возможен только через контекст: кто, откуда, когда и как часто. Это требует корреляции AAA-логов с syslog и TACACS+ accounting - и отдельного человека, который эти корреляции будет поддерживать.

Чеклист для security-инженера телеком-оператора​

Этот список можно передать команде эксплуатации как конкретные задачи. Без обсуждений - просто берёте и делаете.
  1. Отключить Smart Install на всех устройствах Cisco IOS/IOS XE: команда no vstack в глобальной конфигурации. Верификация: show vstack config.
  2. Проверить CVE-2018-0171 в инфраструктуре: nuclei-шаблон CVE-2018-0171.yaml или Shodan-запрос port:4786 product:cisco по вашим IP-диапазонам.
  3. Деактивировать Guest Shell на устройствах, где она не нужна: guestshell destroy. Мониторить попытки активации через Sigma-правило 2.
  4. Запретить Telnet. SSH с ключевой аутентификацией - единственный допустимый протокол управления. Отключить HTTP-сервер: no ip http server.
  5. Сегментировать management-трафик. Администрирование - только из выделенного management VLAN/VRF. ACL на VTY-линиях: разрешить исключительно management-подсеть.
  6. Включить TACACS+ accounting с логированием всех команд: aaa accounting commands 15 default start-stop group tacacs+. Логи - на внешний коллектор.
  7. Внедрить config diff-мониторинг. RANCID, Oxidized или аналог для автоматического снятия конфигураций. Изменение вне change management окна - алерт.
  8. Проверить SSH-конфигурацию. SSH должен слушать только порт 22 на management-интерфейсе. Искать ip ssh port с нестандартными значениями на всех устройствах.
  9. Аудит учётных записей. На каждом устройстве: show running-config | include username. Сопоставить с реестром авторизованных аккаунтов. Неизвестные - удалить немедленно.
  10. Обновить прошивки. Устранить CVE-2018-0171 и другие известные уязвимости. По данным IBM X-Force, среднее время между публикацией CVE и устранением в организации - 29 месяцев. Для телеком-инфраструктуры 29 месяцев - это не «долго», это приглашение.
  11. Внедрить MFA для административного доступа. TACACS+ с интеграцией в корпоративный IdP, поддерживающий многофакторную аутентификацию.
  12. Проверить SPAN/ERSPAN-сессии. На каждом устройстве: show monitor session all. Каждая незадокументированная сессия зеркалирования - инцидент. Не «аномалия», не «стоит проверить» - инцидент.
Salt Typhoon заставил пересмотреть одну фундаментальную вещь. Десятилетиями маршрутизатор воспринимался как «инфраструктура» - надёжная стабильная штука, которую не нужно мониторить как сервер. На нём нет антивируса и EDR, и долгое время это казалось нормальным. Но маршрутизатор - это endpoint с полноценным CLI, файловой системой и возможностью запуска произвольного кода. И мониторить его нужно соответственно.

Во многих SOC-командах телеком-операторов фокус до сих пор на endpoint-мониторинге. Windows-серверы обвешаны EDR-агентами, SIEM обрабатывает гигабайты логов с конечных точек - а syslog от маршрутизаторов хранится 72 часа без корреляции или вовсе не собирается. Это слепое пятно, и Salt Typhoon его эксплуатирует целенаправленно. Мой прогноз: в ближайшие пару лет появятся зрелые NDR-решения, заточенные под поведенческий анализ CLI-сессий на сетевых устройствах - не только анализ трафика, но и профилирование действий оператора. Пока таких решений нет, единственная рабочая защита - Sigma-правила на syslog, жёсткая сегментация management plane и дисциплина конфигурационного аудита. Если в вашей инфраструктуре другой стек детекции - на форуме codeby.net обсуждаем, как адаптировать правила под конкретные SIEM-бэкенды телеком-операторов.
 
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
🔴 Свежие CVE, 0-day и инциденты
То, о чём ChatGPT ещё не знает — обсуждаем в реальном времени
Threat Intel →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

HackerLab