Ruski hakeri koje sponzoriše država, poznati kao Static Tundra, i dalje ciljaju Cisco uređaje pogođene ranjivošću CVE-2018-0171.
Za godinama, ruski hakeri koje sponzoriše država eksploatišu staru ranjivost u Cisco mrežnim uređajima kako bi prikupljali konfiguracione informacije, upozorili su Cisco i FBI.
Zakrpe za propust, praćen kao CVE-2018-0171 (CVSS skor 9.8) i koji utiče na Smart Install (SMI) funkcionalnost Cisco IOS i IOS XE proizvoda, objavljene su još u martu 2018. godine. Uprkos tome, ruski hakeri iz grupe Static Tundra i dalje ciljaju uređaje koji nisu ažurirani.
U srijedu, FBI je upozorio da hakeri povezani sa ruskom vladom eksploatišu zastarjele i nekrpljene uređaje u napadima na entitete u SAD i inostranstvu.
„Tokom protekle godine, FBI je otkrio da hakeri prikupljaju konfiguracione fajlove hiljada mrežnih uređaja povezanih sa američkim entitetima u kritičnim infrastrukturnim sektorima. Na nekim ranjivim uređajima, hakeri su modifikovali konfiguracije kako bi omogućili neautorizovani pristup“, navodi se u saopštenju FBI-ja.
Agencija napade pripisuje Jedinici 16 ruske Federalne službe bezbjednosti (FSB), poznatoj u sajber zajednici i pod imenima Berserk Bear, Blue Kraken, Castle, Crouching Yeti, Dragonfly, Ghost Blizzard i Koala Team.
„Više od decenije, ova jedinica kompromituje mrežne uređaje širom svijeta, naročito one koji koriste zastarjele nešifrovane protokole poput SMI i SNMP verzija 1 i 2. Takođe su implementirali sopstvene alate na pojedinim Cisco uređajima, uključujući malver poznat kao SYNful Knock iz 2015. godine“, dodaje FBI.
Cisco je ažurirao svoj bezbjednosni bilten iz 2018. godine, upozoravajući na nastavak eksploatacije CVE-2018-0171, te aktivnost prati kao Static Tundra, podgrupu unutar Energetic Bear.
Prema istraživačima Cisco Talos tima, Static Tundra je sajber špijunska grupa koja koristi mrežne uređaje kako bi prikupljala konfiguracione informacije i uspostavljala trajni pristup metama od interesa.
„Kada uspostave inicijalni pristup mrežnom uređaju, Static Tundra se dalje kreće u ciljanom okruženju, kompromitujući dodatne mrežne uređaje i postavljajući kanale za dugoročnu upornost i prikupljanje podataka“, navode iz Talos-a.
Aktivna najmanje od 2015. godine, ova APT grupa cilja telekomunikacije, visoko obrazovanje i proizvodne entitete, uglavnom u Ukrajini i savezničkim državama, u podršci ruskim ciljevima.
Organizacijama se preporučuje primjena zakrpa dostupnih za CVE-2018-0171 ili onemogućavanje SMI funkcije kako bi se spriječila eksploatacija. Dodatne preporuke dostupne su u blog postu Talos-a.
Izvor: SecurityWeek
