米連邦捜査局(FBI)は、ロシア連邦保安庁(FSB)に関連するハッカーが、Cisco機器の7年前の脆弱性を悪用して重要インフラ組織を標的に攻撃していると警告しました。
FBIのパブリックサービスアナウンスメントによると、FSBのCenter 16部隊に関連する、Berserk Bear(Blue Kraken、Crouching Yeti、Dragonfly、Koala Teamとしても知られる)と呼ばれる国家支援型ハッカーグループが、CVE-2018-0171の脆弱性を利用してCiscoネットワーク機器を標的にし、世界中の組織への侵入を試みています。
Cisco IOSおよびCisco IOS XEソフトウェアのSmart Install機能に存在する重大な脆弱性であるCVE-2018-0171を悪用されると、認証されていない脅威アクターが未修正の機器をリモートで再起動させ、サービス拒否(DoS)状態を引き起こしたり、標的機器上で任意のコードを実行したりする可能性があります。
「過去1年間で、FBIは米国内の重要インフラ分野に関連する数千台のネットワーク機器の設定ファイルを収集する行為を検知しました。一部の脆弱な機器では、攻撃者が設定ファイルを改ざんし、不正アクセスを可能にしていました」とFBIは述べています。
「攻撃者は不正アクセスを利用して被害者ネットワーク内で偵察活動を行い、産業用制御システムに一般的に関連するプロトコルやアプリケーションに関心を示していました。」
同じハッカーグループは、過去10年間にわたり、米国の州・地方・領土・部族(SLTT)政府機関や航空関連組織のネットワークも標的にしてきました。
管理者に迅速なパッチ適用を推奨
CVE-2018-0171の脆弱性を標的とした攻撃を2021年11月に初めて検知したCiscoは、水曜日に管理者に対し、継続中の攻撃から機器を守るため、できるだけ早く対策を講じるよう呼びかけました。
Ciscoのサイバーセキュリティ部門であるCisco Talosは、同社がStatic Tundraとして追跡しているロシアの脅威グループが、このキャンペーンでCVE-2018-0171を積極的に悪用し、北米、アジア、アフリカ、ヨーロッパの通信、大学、製造業の組織に属する未修正の機器を侵害していると述べています。
攻撃者は、侵害した機器上で長期間にわたり検知を回避しつつ持続的なアクセスを得るためのカスタムSNMPツールや、2015年にFireEyeによって初めて発見されたSYNful Knockファームウェアインプラントも使用していることが確認されています。
「この脅威はロシアの活動にとどまらず、他の国家支援型アクターも同様のネットワーク機器侵害キャンペーンを実施している可能性が高いため、全ての組織にとって包括的なパッチ適用とセキュリティ強化が極めて重要です」とCisco Talosは付け加えています。
「脅威アクターは、パッチが適用されておらずSmart Installが有効になっている機器を引き続き悪用し続けるでしょう。」
