Un agrupación cibernético de espionaje patrocinado por el estado ruso conocido como Tundra estática se ha observado explotar activamente un defecto de seguridad de siete abriles en el software Cisco IOS y Cisco IOS XE como un medio para establecer un paso persistente a las redes de destino.
Cisco Talos, que reveló detalles de la actividad, dijo que los ataques organizaciones de telecomunicaciones, educación superior y sectores de fabricación en América del Ideal, Asia, África y Europa. Las posibles víctimas son elegidas en función de su “interés decisivo” a Rusia, agregó, con los recientes esfuerzos dirigidos contra Ucrania y sus aliados posteriormente de la aparición de la enfrentamiento ruso-ukraniana en 2022.
La vulnerabilidad en cuestión es CVE-2018-0171 (puntaje CVSS: 9.8), una defecto crítica en la función de instalación inteligente del software Cisco IOS y el software Cisco IOS XE que podría permitir un atacante remoto no acreditado para desencadenar una condición de falta de servicio (DOS) o un código caprichoso.
Vale la pena señalar que el defecto de seguridad asimismo ha sido armado por los actores de Salt Typhoon (asimismo conocido como Operator Panda) formado con los proveedores de telecomunicaciones estadounidenses a fines de 2024.
Se evalúa que la Tundra estática, per Talos, está vinculada al Centro 16 de la Servicio de Seguridad Federal (FSB) y operante durante más de una lapso, con un enfoque en las operaciones de compendio de inteligencia a amplio plazo. Se cree que es un subgrupo de otro agrupación que se rastrea como Berserk Bear, agacha Abominable hombre de las nieves, Dragonfly, Enérgico Bear y Havex.
La Oficina Federal de Investigación de los Estados Unidos (FBI), en un asesoramiento concurrente, dijo que ha observado que los actores cibernéticos de FSB “explotan el protocolo simple de dirección de redes (SNMP) y los dispositivos de redes de fin de vida al final de la vida que ejecutan una vulnerabilidad no ecológica (CVE-2018-0171) en CISCO Smart Install (SMI) para ampliar los entidades en los entidades en los Estados Unidos y los Estados Unidos y”.
En estos ataques, se ha opuesto que los actores de amenaza recopilan archivos de configuración para miles de dispositivos de redes asociados con entidades estadounidenses en sectores de infraestructura crítica. La actividad asimismo se caracteriza por los atacantes que modifican los archivos de configuración en dispositivos susceptibles para entregar el paso no acreditado.
El punto de apoyo se abusa de realizar un gratitud internamente de las redes de víctimas, al tiempo que implementa simultáneamente herramientas personalizadas como Synfle Knock, un implante de enrutador informado por primera vez por Mandiant en septiembre de 2015.
“Synful Knock es una modificación sigilosa de la imagen de firmware del enrutador que puede estar de moda para permanecer la persistencia internamente de la red de una víctima”, dijo la firma de inteligencia de amenazas en ese momento. “Es personalizable y de naturaleza modular y, por lo tanto, se puede poner al día una vez implantado”.
Otro aspecto importante de los ataques se refiere al uso de SNMP para cursar instrucciones para descargar un archivo de texto de un servidor remoto y agregarlo a la configuración de ejecución contemporáneo para permitir medios adicionales de paso a los dispositivos de red. La despreocupación de defensa se logra modificando la configuración de TACACS+ en aparatos infectados para interferir con las funciones de registro remoto.
“La tundra estática probablemente utiliza datos de escaneo disponibles públicamente de servicios como Shodan o Censys para identificar sistemas de interés”, dijeron los investigadores de Talos Sara McBroom y Brandon White. “Una de las acciones principales de la Tundra estática sobre los objetivos es capturar el tráfico de red que sería valioso desde una perspectiva de inteligencia”.
Esto se logra estableciendo túneles de encapsulación de enrutamiento genérico (GRE) que redirigen el tráfico de interés a la infraestructura controlada por los atacantes. El adversario asimismo ha sido manido recopilando y exfiltrando datos de NetFlow en sistemas comprometidos. Los datos cosechados se exfiltran a través de conexiones TFTP o FTP salientes.
Las actividades de Tundra estática se centran principalmente en dispositivos de red no parpados, y a menudo al final de la vida, con el objetivo de establecer paso en objetivos primarios y entregar las operaciones secundarias contra objetivos relacionados de interés. Al obtener el paso auténtico, los actores de amenaza excavan el entorno y piratean dispositivos de red adicionales para el paso a amplio plazo y la compendio de información.
Para mitigar el peligro planteado por la amenaza, Cisco aconseja a los clientes que apliquen el parche para CVE-2018-0171 o deshabiliten la instalación inteligente si el parche no es una opción.
“El propósito de esta campaña es comprometer y extraer información de configuración del dispositivo en masa, que luego puede aprovecharse según sea necesario en función de los objetivos e intereses estratégicos en la entonces corriente del gobierno ruso”, dijo Talos. “Esto se demuestra por la habilitación de la Tundra estática y los cambios en el enfoque operante, ya que las prioridades de Rusia han cambiado con el tiempo”.
