По данным Cisco, в одном из подтверждённых кейсов группа удерживала доступ к инфраструктуре телеком-оператора свыше трёх лет. Три года. Среди жертв - AT&T, Verizon, T-Mobile, Lumen Technologies, Charter Communications и ещё минимум четыре крупных американских оператора. При этом Salt Typhoon не разворачивал классический malware на конечных точках - группа живёт за счёт штатных инструментов сетевых устройств. Для security-инженера, который настраивает правила корреляции в SIEM и отвечает за мониторинг телеком-инфраструктуры, это означает одно: привычные detection-сценарии для endpoint-угроз здесь бесполезны. Ниже - kill chain Salt Typhoon с привязкой к MITRE ATT&CK, конкретные Sigma-правила для детекта и чеклист для hardening сетевых устройств.
Бизнес-логика атаки: зачем China APT идёт в телеком-инфраструктуру
Salt Typhoon - APT-группа, связанная с китайским государством (PRC state-affiliated). Активна как минимум с 2019 года, специализируется на долгосрочном кибершпионаже. В threat intelligence отчётах встречается под разными именами - для кросс-референсирования это критично:| Вендор | Алиас |
|---|---|
| Microsoft | Salt Typhoon |
| Trend Micro | Earth Estries (частично пересекающийся кластер) |
| Kaspersky | GhostEmperor [пересекающийся, но не тождественный кластер] |
| ESET | FamousSparrow [пересекающийся, но не тождественный кластер] |
| Mandiant/GTIG | Публичный алиас не опубликован |
Телеком-инфраструктура - не случайная мишень. Получив контроль над маршрутизаторами и коммутаторами оператора связи, группа решает три стратегические задачи одновременно.
Перехват коммуникаций высокопоставленных лиц. По данным WSJ, среди скомпрометированных систем были платформы законного перехвата (lawful intercept), используемые операторами для исполнения запросов в рамках CALEA (Communications Assistance for Law Enforcement Act). Это позволяет отслеживать не только звонки абонентов, но и запросы спецслужб на прослушку - по сути, контрразведка через чужую инфраструктуру.
Картографирование сетевой инфраструктуры. Конфигурации маршрутизаторов содержат BGP-пиринги, VPN-туннели, ACL-списки, TACACS+-серверы - полную карту внутренней сети оператора. Для state-sponsored группы это разведданные стратегического уровня.
Предпозиционирование. В отличие от большинства APT, которые проникают, извлекают данные и уходят, Salt Typhoon делает ставку на persistence. Сохранение доступа позволяет при необходимости нарушить работу сетей связи. По данным CrowdStrike Global Threat Report 2025, активность China-nexus adversaries выросла на 150% год к году. Согласно IBM X-Force Threat Intelligence Index 2025, 70% атак, расследованных X-Force, затронули критическую инфраструктуру. Телеком - один из приоритетных секторов.
Тут стоит сравнить с Volt Typhoon - другой PRC-affiliated группой. Volt Typhoon фокусируется на энергетической и транспортной инфраструктуре с целью подготовки к потенциальному конфликту, Salt Typhoon работает именно в телекоме, обеспечивая intelligence collection и surveillance. Обе группы объединяет living-off-the-land подход, но цели и инфраструктура различаются.
MITRE ATT&CK картография Salt Typhoon TTP
Salt Typhoon действует по структурированной многоступенчатой модели. Ниже - карта подтверждённых TTP на основе joint advisory CISA AA25-239A и отчётов Cisco Talos, Trend Micro и Mandiant.| MITRE ATT&CK ID | Тактика | Техника | Как применяет Salt Typhoon |
|---|---|---|---|
| T1190 | Initial Access | Exploit Public-Facing Application | Эксплуатация CVE-2018-0171 и уязвимостей в VPN/firewall |
| T1078 | Initial Access, Persistence, Privilege Escalation | Valid Accounts | Легитимные учётные данные - основной вектор входа |
| T1059.008 | Execution | Network Device CLI | Команды через CLI Cisco IOS/IOS XE |
| T1505.003 | Persistence | Web Shell | Веб-шеллы на скомпрометированных серверах |
| T1584.008 | Resource Development | Network Devices | Взломанные устройства как pivot-точки |
| T1602 | Collection | Data from Configuration Repository | Дамп running-config для сбора разведданных (через CLI - совместно с T1059.008) |
| T1020.001 | Exfiltration | Traffic Duplication | Зеркалирование трафика через SPAN/ERSPAN |
| T1572 | Command and Control | Protocol Tunneling | GRE/IPsec-туннели для скрытого C2 |
Среднее время lateral movement после initial access, по данным CrowdStrike, составляет 62 минуты (рекорд - 51 секунда). Но Salt Typhoon - не про скорость, а про незаметность: группа разворачивает операции неделями и месяцами.
Initial Access: CVE-2018-0171 и валидные учётные данные
Salt Typhoon использует два основных вектора проникновения. Второй значительно важнее первого.CVE-2018-0171: Cisco Smart Install
CVE-2018-0171 - активно эксплуатируемая уязвимость (CISA KEV) в функции Smart Install Cisco IOS и IOS XE. CVSS 3.1: 9.8 (CRITICAL), вектор
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H. Разбор компонентов:- AV:N - атака по сети
- AC:L - низкая сложность эксплуатации
- PR:N - привилегии не требуются
- UI:N - взаимодействие пользователя не нужно
Публичный PoC доступен с марта 2018 года (EDB-44451, автор embedi). CISA включила уязвимость в каталог KEV 2021-11-03 с due date 2022-05-03 для федеральных агентств. В ProjectDiscovery nuclei-templates есть готовый шаблон:
CVE-2018-0171.yaml. По данным AlienVault OTX, уязвимость остаётся в активной эксплуатации - свежие пульсы с тегом actively_exploited_kev обновляются ежедневно.Но вот что интересно: Cisco Talos уточняет, что из множества расследованных инцидентов Salt Typhoon только один подтвердил эксплуатацию именно CVE-2018-0171. Остальные - через второй вектор.
Valid Accounts (T1078): основной вектор
По данным CrowdStrike, 75% всех вторжений в 2024 году использовали действительные учётные данные. IBM X-Force фиксирует рост credential-based атак на 71% год к году.
Salt Typhoon получает credentials через перехват TACACS+-трафика, модификацию конфигурации AAA-серверов и компрометацию административных аккаунтов. После первичного доступа группа создаёт дополнительные учётные записи и модифицирует ACL - обеспечивая себе несколько независимых путей входа. Убили один аккаунт - остались ещё три.
Persistence и lateral movement: JumbledPath и living-off-the-land
Salt Typhoon минимизирует кастомный malware на ранних этапах, предпочитая штатные инструменты скомпрометированных устройств. По сути, группа воюет вашим же оружием.Guest Shell как контейнер для инструментов. На устройствах Cisco с поддержкой IOx группа активирует Guest Shell - встроенную Linux-среду. Через
guestshell enable атакующий получает полноценный Linux-шелл на маршрутизаторе для размещения инструментов, невидимых стандартному мониторингу IOS. Маршрутизатор становится полноценным плацдармом - а SOC видит только «штатную функцию».SSH на нестандартных портах. Для постоянного доступа создаются SSH-серверы на высоких портах. Мониторинг стандартного порта 22 - мимо.
JumbledPath. Ключевой кастомный инструмент - утилита для удалённого перехвата пакетов через цепочку скомпрометированных устройств. По данным Cisco Talos, JumbledPath написан на Go и скомпилирован как ELF-бинарь. Инструмент устанавливает серию соединений через промежуточные устройства, что затрудняет определение реального источника перехвата. Обнаружен на скомпрометированных Cisco Nexus.
GRE/IPsec-туннели (T1572). Для C2-коммуникации используются протоколы GRE и IPsec - выглядят как легитимные WAN-соединения и не вызывают алертов в стандартных правилах. Попробуйте отличить GRE-туннель атакующего от штатного WAN-линка в сети с тысячей маршрутизаторов - удачи.
Серверный арсенал. На серверах (за пределами сетевых устройств) Salt Typhoon разворачивает бэкдор GhostSpider (по данным Trend Micro, разработан специально для телеком-сетей), руткит Demodex (kernel-mode), Cobalt Strike, а также SnappyBee и HemiGate. DLL sideloading выполняется через легитимное ПО: Norton, Bkav, IObit.
Sigma-правила для обнаружения APT в телеком-сетях
📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Правило 2: Активация Guest Shell - индикатор persistence (T1059.008)
YAML:
title: Cisco Guest Shell Activation - Persistence Indicator
status: experimental
logsource:
product: cisco
service: syslog
detection:
selection:
message|contains:
- 'guestshell enable'
- 'guestshell run'
- 'app-hosting appid'
- 'iox-service'
condition: selection
level: critical
guestshell enable в три ночи - это не плановые работы, это повод поднимать дежурную смену.Правило 3 (текстовое описание): Traffic Duplication - SPAN/ERSPAN (T1020.001). Ищите появление команд
monitor session, destination remote, erspan-id вне планового maintenance window. В Splunk это реализуется фильтром index=cisco sourcetype=syslog "monitor session" с корреляцией по change management тикетам.Правило 4 (текстовое описание): SSH на нестандартном порту. Мониторьте паттерн
ip ssh port с номером порта, отличным от 22, или конфигурационные изменения line vty с привязкой к нетипичным портам.Выбор источника логов зависит от конкретного TTP:
| Источник логов | Покрываемые TTP | Ограничения | Когда использовать |
|---|---|---|---|
| Cisco Syslog | T1078, T1059.008, T1602 | Не все LOTL-команды генерируют события | Базовый детект на всех устройствах |
| TACACS+ Accounting | T1078, T1059.008 | Только AAA-события | Аудит credential use и command logging |
| Netflow/IPFIX | T1020.001, T1572 | Не видит содержимое трафика | Обнаружение аномальных потоков и туннелей |
| Config Diff (RANCID/Oxidized) | T1505.003, persistence | Не реалтайм, интервал от 1 часа | Еженедельный аудит конфигураций |
Ограничения детекта на сетевых устройствах
Обнаружение APT на сетевых устройствах принципиально отличается от endpoint-мониторинга. И тут есть объективные проблемы, о которых стоит сказать честно.Ограниченная телеметрия. Cisco IOS генерирует значительно меньше данных, чем Windows с EDR-агентом. Нет аналога ETW-провайдеров, нет полного command-line logging по умолчанию. Syslog покрывает только события, которые IOS считает достаточно важными - а Salt Typhoon целенаправленно использует команды, не генерирующие syslog по дефолту. Вы слепы именно там, где вас ломают.
Tamper-доступ к логам. Контролируя устройство, атакующий контролирует и его логи. Salt Typhoon может очищать buffer до отправки на коллектор. Mitigation: syslog в режиме streaming (не buffer-first) по надёжному транспорту на внешний коллектор.
Baseline-проблема. В крупных телеком-сетях с тысячами маршрутизаторов создание baseline нормального поведения занимает от нескольких недель до нескольких месяцев. Без baseline правила генерируют или тысячи false positive, или пропускают реальные атаки. Золотой середины не бывает - бывает долгая кропотливая настройка.
LOTL-слепота. Когда атакующий выполняет
show running-config, это та же команда, которую ежедневно запускает сетевой инженер. Детект возможен только через контекст: кто, откуда, когда и как часто. Это требует корреляции AAA-логов с syslog и TACACS+ accounting - и отдельного человека, который эти корреляции будет поддерживать.Чеклист для security-инженера телеком-оператора
Этот список можно передать команде эксплуатации как конкретные задачи. Без обсуждений - просто берёте и делаете.- Отключить Smart Install на всех устройствах Cisco IOS/IOS XE: команда
no vstackв глобальной конфигурации. Верификация:show vstack config. - Проверить CVE-2018-0171 в инфраструктуре: nuclei-шаблон
CVE-2018-0171.yamlили Shodan-запросport:4786 product:ciscoпо вашим IP-диапазонам. - Деактивировать Guest Shell на устройствах, где она не нужна:
guestshell destroy. Мониторить попытки активации через Sigma-правило 2. - Запретить Telnet. SSH с ключевой аутентификацией - единственный допустимый протокол управления. Отключить HTTP-сервер:
no ip http server. - Сегментировать management-трафик. Администрирование - только из выделенного management VLAN/VRF. ACL на VTY-линиях: разрешить исключительно management-подсеть.
- Включить TACACS+ accounting с логированием всех команд:
aaa accounting commands 15 default start-stop group tacacs+. Логи - на внешний коллектор. - Внедрить config diff-мониторинг. RANCID, Oxidized или аналог для автоматического снятия конфигураций. Изменение вне change management окна - алерт.
- Проверить SSH-конфигурацию. SSH должен слушать только порт 22 на management-интерфейсе. Искать
ip ssh portс нестандартными значениями на всех устройствах. - Аудит учётных записей. На каждом устройстве:
show running-config | include username. Сопоставить с реестром авторизованных аккаунтов. Неизвестные - удалить немедленно. - Обновить прошивки. Устранить CVE-2018-0171 и другие известные уязвимости. По данным IBM X-Force, среднее время между публикацией CVE и устранением в организации - 29 месяцев. Для телеком-инфраструктуры 29 месяцев - это не «долго», это приглашение.
- Внедрить MFA для административного доступа. TACACS+ с интеграцией в корпоративный IdP, поддерживающий многофакторную аутентификацию.
- Проверить SPAN/ERSPAN-сессии. На каждом устройстве:
show monitor session all. Каждая незадокументированная сессия зеркалирования - инцидент. Не «аномалия», не «стоит проверить» - инцидент.
Во многих SOC-командах телеком-операторов фокус до сих пор на endpoint-мониторинге. Windows-серверы обвешаны EDR-агентами, SIEM обрабатывает гигабайты логов с конечных точек - а syslog от маршрутизаторов хранится 72 часа без корреляции или вовсе не собирается. Это слепое пятно, и Salt Typhoon его эксплуатирует целенаправленно. Мой прогноз: в ближайшие пару лет появятся зрелые NDR-решения, заточенные под поведенческий анализ CLI-сессий на сетевых устройствах - не только анализ трафика, но и профилирование действий оператора. Пока таких решений нет, единственная рабочая защита - Sigma-правила на syslog, жёсткая сегментация management plane и дисциплина конфигурационного аудита. Если в вашей инфраструктуре другой стек детекции - на форуме codeby.net обсуждаем, как адаптировать правила под конкретные SIEM-бэкенды телеком-операторов.