サポート終了となったCiscoのネットワーク機器に影響する7年前の脆弱性が、ロシア国家支援のサイバースパイ活動グループによって悪用されている。
Cisco Talosは、Static Tundraとして知られる同グループが、数年にわたりCisco機器の侵害を行っていることが確認されていると述べた。
ロシア寄りのハッキンググループは、Cisco IOSソフトウェアおよびCisco IOS XEソフトウェアのSmart Install機能における、以前に公開された脆弱性(CVE-2018-0171)を悪用してきた。この脆弱性は未修正のまま放置されていることがあり、しばしば機器がサポート終了日を迎えた後もその状態が続いている。
FBIとCisco Talosは、2025年8月20日にこのキャンペーンについてそれぞれ別個に警告を発出した。
「脅威アクターは、未修正のままでSmart Installが有効になっている機器を引き続き悪用するだろう」と、Cisco Talosの脅威アドバイザリは警告した。
顧客には、 CVE-2018-0171のパッチ を適用するか、パッチ適用が不可能な場合はSmart Installを無効化するよう促されている。このパッチは2018年に初めて提供された。
悪用された場合、このバグにより、認証されていないリモート攻撃者が影響を受ける機器の再起動を引き起こしてサービス拒否(DoS)状態を招いたり、影響を受ける機器上で任意のコードを実行したりする可能性がある。
ロシアにとって戦略的に重要な被害者
FBIは、重要インフラ分野に属する米国の組織に関連する数千台のネットワーク機器から、Static Tundraが設定ファイルを収集しているのを確認したと述べた。
Ciscoは、Static Tundraの主な標的には、北米、アジア、アフリカ、欧州にまたがる通信、高等教育、製造分野の組織が含まれると評価した。
被害者は通常、ロシア政府にとっての戦略的関心に基づいて選定される。
Cisco Talosはまた、一部の被害者がウクライナに拠点を置いていることも指摘した。
同社は、Static Tundraが今後も、ウクライナおよび同盟国における政治的関心のある組織に焦点を当て続けるとみている。
Ciscoの研究者は、ウクライナの組織に対するStatic Tundraの活動は、ロシア・ウクライナ戦争の開始時に激化し、その後も高い水準が続いていると指摘した。
長期的脅威としてのStatic Tundra
Static Tundraは、Energetic Bear/Berserk Bear/Dragonflyのサブグループである可能性が高く、10年以上にわたり活動してきた確立された脅威グループである。
同グループは、ロシア連邦保安庁(FSB)の第16センターに帰属するとされている。
FBIは、2015年以降、この部隊が世界中のネットワーク機器、特にSMIやSimple Network Management Protocol(SNMP)バージョン1および2といった旧式の暗号化されていないプロトコルを受け付ける機器を侵害してきたと述べた。また、この部隊は特定のCisco機器にカスタムツールも展開しており、例えば2015年にSYNful Knockとして公に特定されたマルウェアなどがある。
Ciscoは、同グループには主に2つの作戦目的があると評価している。1つは、ネットワーク機器を侵害して機微な機器設定情報を収集し、将来の作戦を支えるために活用できるようにすることだ。
2つ目は、長期的なスパイ活動を支えるために、ネットワーク環境への永続的なアクセスを確立することである。
Ciscoによる分析では、Ciscoのネットワークインフラが世界的に広く普及しており、そこから得られ得るアクセスの可能性があるため、同グループはこれらの機器の悪用、そしておそらくはこれらの機器とやり取りし、そこに常駐するためのツール開発にも強く注力していると指摘している。
Static Tundraは、これらの目的を達成するため、永続性と秘匿性を優先する独自のツール群を利用している。これらのツールの中には、Static TundraがCVE-2018-0171の悪用を自動化できるようにする独自ツールも含まれる。
翻訳元: https://www.infosecurity-magazine.com/news/russian-espionage-group-targets/
