コンテンツにスキップするには Enter キーを押してください

ロシアのサイバーグループ、7年前のネットワーク脆弱性を悪用し長期的なスパイ活動を実施

投稿日 2025年8月21日

ロシア政府が支援するスパイグループが、世界中のネットワーク機器を10年以上にわたり組織的に侵害し、7年前の脆弱性を悪用して機密データを窃取し、複数の業界にわたる組織への持続的なアクセスを確立していることが、Cisco Talos Intelligenceの新たな調査で明らかになりました。

Cisco Talosによって「Static Tundra」と名付けられたこのグループは、ロシア連邦保安庁(FSB)の第16センターに関連しており、より広範な脅威グループ「Energetic Bear」のサブクラスターである可能性が高いとされています。この活動は、これまでに記録された中で最も持続的なネットワーク機器侵害キャンペーンの一つであり、グループは被害者システムへのアクセスを数年間にわたり発覚せずに維持していました。

研究者によると、グループはCVE-2018-0171、すなわちCisco IOSソフトウェアのSmart Install機能の脆弱性を2018年に最初に公開された際に修正されたにもかかわらず、活用し続けています。パッチが提供されているにもかかわらず、グループはパッチが適用されていない機器や、更新できないサポート終了機器を使用している組織を標的にし、成功を収めています。

この脆弱性により、攻撃者は影響を受ける機器上で任意のコードを実行したり、サービス拒否(DoS)状態を引き起こしたりすることが可能です。

研究者は、グループが脆弱性を大規模に悪用するための自動化ツールを開発していると考えており、ShodanやCensysなどの公開ネットワークスキャンデータを利用して標的を特定している可能性が高いとしています。

初期アクセスを獲得した後、グループは高度な手法を用いて機器の設定データを抽出します。このデータには、さらなる侵害に有用な認証情報やネットワーク情報が含まれていることが多いです。攻撃者は、Trivial File Transfer Protocol(TFTP)サーバーやSimple Network Management Protocol(SNMP)ツールの組み合わせを利用してアクセスを維持し、情報収集を行っています。

このスパイ活動キャンペーンは、北米、アジア、アフリカ、ヨーロッパの通信、大学、高等教育、製造業などの組織に影響を及ぼしています。被害者の選定はロシアの戦略的利益と一致しているようで、研究者はロシア・ウクライナ紛争の勃発以降、ウクライナの組織に対する活動が大幅に増加したと指摘しています。

「我々が観測した明確な標的の変化の一つは、Static Tundraによるウクライナの組織への攻撃がロシア・ウクライナ戦争の開始時に急増し、それ以降も高い水準を維持していることです」とCisco Talosのレポートは述べています。グループはウクライナ国内での標的を、限定的な侵害から複数の業界分野にわたる活動へと拡大させました。

このキャンペーンは、ネットワークインフラのセキュリティにおける継続的な弱点を浮き彫りにしており、攻撃者が2018年に修正された脆弱性をいまだに悪用し続けている現状を示しています。この持続性は、パッチ管理や機器のライフサイクル管理における広範な課題を強調しています。また、この活動は、国家支援型攻撃者がネットワーク機器の侵害に高い戦略的価値を見出していることを示しており、組織全体の通信へのアクセスやさらなる侵入を容易にしています。

セキュリティ研究者は、Static Tundraがネットワークインフラを標的にしている唯一のグループではないことを強調しています。レポートでは「他にも多くの国家支援型攻撃者が、これらの機器がもたらすアクセスを狙っている」と記されており、同様の活動が複数の国家グループによって行われている可能性が高いことを示唆しています。

Cisco Talosは、過去に特定されたロシアの作戦との戦術的な類似点や、ロシアの戦略的利益と一致する標的傾向に基づき、Static Tundraがネットワーク機器の悪用を専門とするロシア政府支援グループであると高い確信を持って評価しています。FBIも、Static Tundraとより広範なEnergetic Bearグループとの関連を裏付けており、同グループは2022年の米司法省による起訴でロシアFSB第16センターと正式に関連付けられました。

FSB第16センターは、ロシア連邦保安庁(FSB)内の一部門です。このセンターは、ロシア政府を代表してシグナルインテリジェンスやサイバー作戦を監督していると考えられています。センターに関連する別のグループ「Turla」として知られるグループも、独自のスパイ活動をMicrosoftによって行っていることが確認されています。

翻訳元: https://cyberscoop.com/russian-static-tundra-hacks-cisco-network-devices-cve-2018-0171/

Published in cyberscoop-com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です