FBIとCisco、ロシア関連のハッカーが重要インフラ組織を標的にしていると警告

FBIは水曜日、ロシア政府と関連するハッカーがCiscoのネットワーク機器の脆弱性を悪用し、重要インフラ組織を標的にしていると発表しました。

「過去1年間に、FBIは重要インフラ分野の米国組織に関連する数千台のネットワーク機器の設定ファイルを収集している行為者を検知した」と同局は警告の中で述べています。

FBIによると、これらのハッカーはロシア連邦保安庁（FSB）第16センターに関連付けられており、CiscoおよびRockwell Automation製の未修正またはサポート終了のネットワークスイッチで任意のコードを実行するため、CVE-2018-0171として追跡されているCiscoのIOSソフトウェアのバグを悪用しています。

FBIによると、攻撃者は一部のケースで設定ファイルを改ざんし、機器へのアクセス権を取得したり、「産業用制御システムで一般的に使用されるプロトコルやアプリケーション」に焦点を当てた偵察活動を行ったりしています。

FSB、別名Berserk Bear、Dragonfly

FSB第16センターは、研究者によって「Berserk Bear」や「Dragonfly」という名前で追跡されている作戦を実施しており、FBIによれば、10年以上にわたりネットワーク機器の暗号化されていないプロトコルの利用を悪用してコンピューターシステムに侵入してきました。

Ciscoの研究者は水曜日、ロシア関連グループに関する独自の報告書を公開しました。Ciscoによると、このグループは「Static Tundra」と呼ばれ、世界中の通信、教育、製造組織を標的にしており、「被害者は主にロシア政府の戦略的関心に基づいて選ばれている」とし、主にウクライナおよびその同盟国が対象となっています。

FBIとCiscoの両方が、FSB第16センターをSYNful Knockマルウェアと関連付けており、Googleが2015年にウクライナを含む4カ国で検出したとしています。

Ciscoによれば、モスクワが2022年にウクライナ侵攻を拡大して以来、このグループによるウクライナの標的への攻撃が大幅に増加しています。「Static Tundraは複数の分野でウクライナの組織を侵害していることが確認された」とCiscoは述べ、「従来この脅威アクターに関連付けられていたよりも限定的かつ選択的な侵害とは異なる」としています。