コンテンツにスキップするには Enter キーを押してください

FBI、FSB関連のハッカーが未修正のCisco機器をサイバースパイ活動に悪用していると警告

投稿日 2025年8月21日

2025年8月20日Ravie Lakshmananサイバースパイ活動 / 脆弱性

Image

Static Tundraとして知られるロシア政府支援のサイバースパイグループが、Cisco IOSおよびCisco IOS XEソフトウェアに存在する7年前のセキュリティ脆弱性を積極的に悪用し、標的ネットワークへの永続的なアクセスを確立していることが確認されています。

この活動の詳細を公開したCisco Talosによると、攻撃は北米、アジア、アフリカ、ヨーロッパの通信、大学、高等教育、製造業の組織を標的にしています。標的となる被害者はロシアにとって「戦略的に重要」とされる組織が選ばれており、2022年のロシア・ウクライナ戦争開始以降はウクライナおよびその同盟国への攻撃が強化されています。

問題となっている脆弱性は、CVE-2018-0171(CVSSスコア:9.8)であり、Cisco IOSソフトウェアおよびCisco IOS XEソフトウェアのSmart Install機能に存在する重大な脆弱性です。これにより、認証されていないリモートの攻撃者がサービス拒否(DoS)状態を引き起こしたり、任意のコードを実行したりする可能性があります。

このセキュリティ欠陥は、中国系のSalt Typhoon(別名Operator Panda)によっても武器化された可能性が高いとされており、2024年末には米国の通信事業者を標的とした攻撃の一部として利用されました。

Talosによれば、Static Tundraはロシア連邦保安庁(FSB)の第16センターと関連していると考えられており、10年以上にわたり長期的な情報収集活動を行っています。また、サブクラスターであり、Berserk Bear、Crouching Yeti、Dragonfly、Energetic Bear、Havexなどとして追跡されている他のグループの一部と見られています。

米連邦捜査局(FBI)は、同時発表の勧告の中で、FSBのサイバー攻撃者が「Simple Network Management Protocol(SNMP)および未修正の脆弱性(CVE-2018-0171)を持つサポート終了済みのネットワーク機器上でCisco Smart Install(SMI)を悪用し、米国および世界中の組織を広範囲に標的としている」と述べています。

これらの攻撃では、脅威アクターが米国内の重要インフラ分野に関連する数千台のネットワーク機器の設定ファイルを収集していることが判明しています。また、攻撃者は脆弱な機器の設定ファイルを書き換え、不正アクセスを容易にしています。

この足がかりを利用して被害ネットワーク内で偵察活動を行い、同時にSYNful Knockのようなカスタムツール(2015年9月にMandiantが初めて報告したルーターインプラント)を展開しています。

「SYNful Knockは、被害者ネットワーク内で永続的なアクセスを維持するために使用できる、ルーターのファームウェアイメージのステルスな改変です」と脅威インテリジェンス企業は当時説明しています。「これはカスタマイズ可能かつモジュール式であり、一度インプラントされれば更新も可能です。」

攻撃のもう一つ注目すべき点は、SNMPを利用してリモートサーバーからテキストファイルをダウンロードし、現在の稼働中の設定に追加することで、ネットワーク機器へのさらなるアクセス手段を確保していることです。防御回避のため、感染した機器のTACACS+設定を変更し、リモートログ機能を妨害しています。

「Static Tundraは、ShodanやCensysなどのサービスで公開されているスキャンデータを利用して、関心のあるシステムを特定している可能性が高い」と、TalosのSara McBroom氏とBrandon White氏は述べています。「Static Tundraの主な目的の一つは、インテリジェンスの観点から価値のあるネットワークトラフィックを取得することです。」

これは、Generic Routing Encapsulation(GRE)トンネルを設定し、関心のあるトラフィックを攻撃者が管理するインフラにリダイレクトすることで実現されます。攻撃者はまた、侵害したシステム上でNetFlowデータを収集・流出させていることも確認されています。収集したデータは、外向きのTFTPやFTP接続を通じて流出させられます。

Static Tundraの活動は主に未修正、かつしばしばサポート終了済みのネットワーク機器に集中しており、主要標的へのアクセス確立と、関連する二次標的への攻撃を容易にすることを目的としています。初期アクセスを得ると、脅威アクターはさらに環境内に深く侵入し、追加のネットワーク機器をハッキングして長期的なアクセスと情報収集を行います。

この脅威によるリスクを軽減するため、Ciscoは顧客に対しCVE-2018-0171のパッチを適用するか、パッチ適用が不可能な場合はSmart Installを無効化するよう推奨しています。

「このキャンペーンの目的は、デバイスの設定情報を大量に侵害・抽出し、その後、ロシア政府の当時の戦略的目標や関心に応じて活用することにあります」とTalosは述べています。「これは、Static Tundraがロシアの優先事項の変化に応じて運用の焦点を適応・転換してきたことからも明らかです。」

翻訳元: https://thehackernews.com/2025/08/fbi-warns-russian-fsb-linked-hackers.html

Published in thehackernews.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です