Se ha observado que el grupo cibernético patrocinado por el estado ruso, conocido como la tundra estática, está explotando activamente los defectos de seguridad de siete años de software Cisco IOS y Cisco IOS XE como un medio para establecer acceso permanente a las redes de destino.
Cisco Talos, quien reveló detalles de la actividad, dijo que el ataque puso a las organizaciones en sectores de telecomunicaciones, educación superior y fabricación en América del Norte, Asia, África y Europa en una sola organización. Se eligieron futuras víctimas en función de su «interés estratégico» en Rusia, y agregó que los esfuerzos recientes se han dirigido contra Ucrania y sus aliados después del lanzamiento de la Guerra Russo-Ukrina en 2022.
La vulnerabilidad en cuestión es CVE-2018-0171 (puntaje CVSS: 9.8). Este es un defecto crítico en la funcionalidad de instalación inteligente del software Cisco IOS y el software Cisco IOS XE, lo que permite a los atacantes remotos no certificados activar las condiciones de asistencia a la escuela (DOS).
Vale la pena señalar que los fallas de seguridad probablemente estén armados por los actores de Salt Typhoon (también conocido como operador Panda) alineados en China como parte de un ataque dirigido a proveedores de telecomunicaciones estadounidenses a fines de 2024.
La tundra estática por taro está vinculada a 16 unidades centrales de Servicios de Seguridad Federal (FSB) y está clasificada para operar durante más de una década, con un enfoque en las operaciones de recolección de inteligencia a largo plazo. Se cree que es un subcluster de otro grupo que se rastrea como un oso de barserk, un yetiti en cuclillas, una libélula, un oso enérgico y un hasex.
La Oficina Federal de Investigación de los Estados Unidos (FBI) dijo que estaba observando que estaba ejecutando un protocolo simple de gestión de red (SNMP) que ejecuta una instalación de Cisco Smart (SMI) no vulnerabilidad no ganada (CVE-2018-0171) y un actor cibernético (SMI) FSB que aprovecha los dispositivos de redes de terminación.
Estos ataques encontraron que los actores de amenaza estaban recopilando archivos de configuración para miles de dispositivos de red relacionados con entidades estadounidenses en sectores de infraestructura crítica. Esta actividad también se caracteriza por los atacantes que modifican los archivos de configuración en dispositivos confidenciales para facilitar el acceso no autorizado.
Luego se abusa del andamio, realizando un reconocimiento dentro de la red de víctimas, al tiempo que implementa simultáneamente herramientas personalizadas como Synful Knock, el implante del enrutador que Mandiant informó por primera vez en septiembre de 2015.
«Synful Knock es un cambio sigiloso en las imágenes de firmware del enrutador que se puede utilizar para mantener la sostenibilidad dentro de la red de la víctima», dijo la compañía de inteligencia de amenazas en ese momento. «Es inherentemente personalizable y modular, por lo que puede actualizarlo una vez que esté incrustado».
Otro aspecto notable del ataque se trata de usar SNMP para enviar pasos para descargar archivos de texto de servidores remotos y agregarlos a la configuración de ejecución actual para permitir medios adicionales de acceso a dispositivos de red. La evasión de defensa se logra modificando la configuración TACACS+ del dispositivo infectado para interferir con la función de registro remoto.
«Es probable que Tundra estática utilice datos de escaneo disponibles públicamente de servicios como Shodan y Censys para identificar sistemas de interés», dijeron los investigadores de Talos Sara McBroom y Brandon White. «Una de las principales acciones de la tundra estática con respecto al propósito es capturar el tráfico de red que es valioso desde un punto de vista intelectual».
Esto se logra configurando un túnel de encapsulación de enrutamiento común (GRE) que redirige el tráfico de interés a una infraestructura controlada por el atacante. También se encontró al enemigo recopilar y eliminar los datos de Netflow sobre el sistema comprometido. Los datos cosechados se expanden a través de conexiones TFTP o FTP salientes.
Las actividades de Tundra estática se centran principalmente en dispositivos de red informales y a menudo terminados que tienen como objetivo establecer el acceso a objetivos clave y promover operaciones secundarias contra objetivos de interés. Una vez que obtiene su primer acceso, el acceso a amenazas excava agujeros profundos en su entorno y piratean dispositivos de red adicionales para acceso a largo plazo y recopilación de información.
Para mitigar las posturas de riesgo por amenazas, Cisco aconseja a los clientes que parquee CVE-2018-0171 o deshabiliten la instalación inteligente si el parche no es una opción.
«El propósito de esta campaña es comprometer y extraer información de configuración para dispositivos, que se pueden usar más adelante, en función de los objetivos estratégicos del tiempo y los intereses del gobierno ruso», dijo Talos. «Esto se demuestra por la adaptación estática de la tundra y el cambio en el enfoque operativo, ya que las prioridades de Rusia han cambiado con el tiempo».
Source link
