数年間にわたり、ロシア政府支援の脅威アクターがCiscoネットワーク機器の古い脆弱性を悪用し、設定情報を収集していると、CiscoとFBIが警告しています。
CVE-2018-0171(CVSSスコア9.8)として追跡されているこの脆弱性は、CiscoのIOSおよびIOS XE製品のSmart Install(SMI)機能に影響を及ぼしますが、この修正パッチは2018年3月にリリースされました。ロシア政府支援のハッカーグループ「Static Tundra」は、CVE-2018-0171の影響を受けるCisco機器を引き続き標的にしています。
水曜日に、FBIは警告し、ロシア政府のために活動するハッカーが、このバグに対してパッチが適用されていないサポート終了機器を悪用し、米国および海外の組織を標的とした攻撃を行っていると述べました。
「過去1年間で、FBIは米国内の重要インフラ分野に関連する数千台のネットワーク機器の設定ファイルを収集する行為を検知しました。一部の脆弱な機器では、攻撃者が設定ファイルを改ざんし、不正アクセスを可能にしていました」とFBIは述べています。
同庁は、これらの攻撃をロシア連邦保安庁(FSB)の第16センターによるものとし、サイバーセキュリティ業界ではBerserk Bear、Blue Kraken、Castle、Crouching Yeti、Dragonfly、Ghost Blizzard、Koala Teamなどの名で追跡されています。
「このユニットは10年以上にわたり、特にSMIやSNMPバージョン1および2などのレガシーな暗号化されていないプロトコルを受け入れる機器を中心に、世界中のネットワーク機器を侵害してきました。また、2015年に公表されたマルウェア『SYNful Knock』など、特定のCisco機器にカスタムツールを展開したこともあります」とFBIは指摘しています。
Ciscoは、CVE-2018-0171の継続的な悪用について警告するため、2018年のアドバイザリを更新しており、この活動をStatic Tundraとして追跡し、Energetic Bearのサブグループに帰属させています。
CiscoのTalosリサーチャーによると、Static Tundraはネットワーク機器を悪用して設定情報を収集し、標的への持続的なアクセスを確立するサイバースパイグループです。
広告。スクロールして読み続けてください。
「一度ネットワーク機器への初期アクセスを確立すると、Static Tundraは標的環境内でさらに横展開し、追加のネットワーク機器を侵害して長期的な持続性と情報収集のためのチャネルを確立します」とTalosは述べています。
少なくとも2015年から活動しているこのAPTは、主にウクライナおよび同盟国の通信、大学、高等教育、製造業の組織をロシアの目的支援のために標的にしてきました。
組織は、CVE-2018-0171向けのパッチを適用するか、SMI機能を無効化して悪用を防ぐことが推奨されます。さらなる推奨事項はTalosのブログ記事に記載されています。
関連記事: ノルウェー警察、親ロシア派ハッカーがダムでの破壊工作の背後にいた可能性を指摘
関連記事: ハイジャックされた衛星と軌道上の宇宙兵器:21世紀、宇宙は新たな戦場に
翻訳元: https://www.securityweek.com/russian-apt-exploiting-7-year-old-cisco-vulnerability-fbi/