Um grupo russo patrocinado pelo estado conhecido como Static Tundra foi observado explorando ativamente uma falha de segurança de sete anos no software Cisco IOS e Cisco IOS XE como meio de estabelecer acesso persistente às redes alvo.
O Cisco Talos, que divulgou detalhes da atividade, disse que os ataques visam organizações nos setores de telecomunicações, educação superior e manufatura em toda a América do Norte, Ásia, África e Europa.
As vítimas em potencial são escolhidas com base em seu "interesse estratégico" para a Rússia, acrescentou, com esforços recentes dirigidos contra a Ucrânia e seus aliados após o início da guerra russo-ucraniana em 2022.
A vulnerabilidade em questão é o
CVE-2018-0171
(pontuação CVSS: 9.8), uma falha crítica no recurso Smart Install do Cisco IOS Software e do Cisco IOS XE software que poderia permitir que um atacante remoto não autenticado acione uma condição de denial-of-service (DoS) ou execute código arbitrário.
Vale ressaltar que o defeito de segurança também foi provavelmente armado por atores alinhados com a China conhecidos como Salt Typhoon (também conhecido como Operator Panda) no final de 2024.
Static Tundra, segundo o Talos, é avaliado como vinculado à unidade Centro 16 do Serviço Federal de Segurança (FSB) e operacional por mais de uma década, com foco em operações de coleta de inteligência de longo prazo.
Acredita-se que seja um subgrupo de outro grupo que é rastreado como Berserk Bear, Crouching Yeti, Dragonfly, Energetic Bear e Havex.
O Bureau Federal de Investigação (FBI) dos EUA, em um aviso concorrente, disse que observou "atores cibernéticos do FSB explorando o Simple Network Management Protocol (SNMP) e dispositivos de rede no fim de vida útil rodando uma vulnerabilidade não corrigida (
CVE-2018-0171
) no Cisco Smart Install (SMI) para atingir amplamente entidades nos Estados Unidos e globalmente."
Nesses ataques, os atores de ameaças foram encontrados coletando arquivos de configuração de milhares de dispositivos de rede associados a entidades dos EUA em setores de infraestrutura crítica.
A atividade também é caracterizada pelos atacantes modificando arquivos de configuração em dispositivos suscetíveis para facilitar o acesso não autorizado.
A entrada é então abusada para conduzir reconhecimento dentro das redes das vítimas, enquanto simultaneamente implantam ferramentas personalizadas como SYNful Knock, um implante de roteador relatado pela primeira vez pela Mandiant em setembro de 2015.
"SYNful Knock é uma modificação furtiva da imagem de firmware do roteador que pode ser usada para manter a persistência dentro da rede de uma vítima", disse a firma de inteligência de ameaças na época.
"É customizável e modular por natureza e, portanto, pode ser atualizado uma vez implantado."
Outro aspecto notável dos ataques diz respeito ao uso do SNMP para enviar instruções para baixar um arquivo de texto de um servidor remoto e anexá-lo à configuração atual em execução para permitir meios adicionais de acesso aos dispositivos de rede.
A evasão de defesa é alcançada modificando a configuração TACACS+ em aparelhos infectados para interferir com funções de registro remoto.
"O Static Tundra provavelmente usa dados de varredura publicamente disponíveis de serviços como Shodan ou Censys para identificar sistemas de interesse", disseram os pesquisadores do Talos, Sara McBroom e Brandon White.
Uma das principais ações do Static Tundra nos objetivos é capturar tráfego de rede que seria de valor de uma perspectiva de inteligência.
Isso é realizado configurando túneis de Generic Routing Encapsulation (GRE) que redirecionam o tráfego de interesse para a infraestrutura controlada pelo atacante.
O adversário também foi observado coletando e exfiltrando dados de NetFlow em sistemas comprometidos.
Os dados colhidos são exfiltrados via conexões TFTP ou FTP de saída.
As atividades do Static Tundra são primariamente focadas em dispositivos de rede não corrigidos e, muitas vezes, no fim de vida útil, com o objetivo de estabelecer acesso em alvos primários e facilitar operações secundárias contra alvos relacionados de interesse.
Após obter acesso inicial, os atores de ameaças penetram mais profundamente no ambiente e invadem dispositivos de rede adicionais para acesso de longo prazo e coleta de informações.
Para mitigar o risco apresentado pela ameaça, a Cisco está aconselhando seus clientes a aplicar o patch para
CVE-2018-0171
ou desativar o Smart Install se a atualização não for uma opção.
"O propósito desta campanha é comprometer e extrair informações de configuração de dispositivos em massa, que podem ser posteriormente utilizadas conforme necessário com base nos objetivos e interesses estratégicos atuais do governo russo", disse o Talos.
Isso é demonstrado pela adaptação do Static Tundra e mudanças no foco operacional conforme as prioridades da Rússia mudaram ao longo do tempo.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...