ロシアのハッカー、古いCiscoの脆弱性を悪用し世界の企業ネットワークを標的に

FBIの勧告によると、ロシア連邦保安庁（FSB）に関連する国家支援のサイバー攻撃者が、10年にわたるスパイ活動キャンペーンを実施し、世界中の重要分野における数千台の企業ネットワーク機器を侵害しました。

この脅威アクターはCisco Talosによって「Static Tundra」と命名され、以前は「Berserk Bear」や「Dragonfly」として知られていました。彼らはCisco Smart Install（SMI）の6年前の脆弱性CVE-2018-0171を体系的に悪用し、企業ネットワークインフラへの深いアクセスを獲得し、産業制御システムの偵察を行いました。

「攻撃者は不正アクセスを利用して被害者ネットワーク内で偵察を行い、産業制御システムに一般的に関連するプロトコルやアプリケーションへの関心が明らかになりました」とFBIは勧告で述べています。

広範囲に及ぶインフラ侵害

FBIは、過去1年だけでもロシアFSBのサイバー攻撃者が、米国内の複数の重要インフラ分野に関連する数千台のネットワーク機器から設定ファイルを収集したことを明らかにしました。

攻撃者は、脆弱な機器の設定ファイルを改ざんし、事業運営を妨害する可能性のある持続的な不正アクセスを確立しました。

通信会社の場合、中核ネットワーク機器の侵害は、数百万人の顧客へのサービス提供や全国規模の通信障害のリスクをもたらしました。

製造業組織は生産システムやサプライチェーン運用へのリスクに直面し、大学は研究ネットワークや学生サービスインフラへの脅威に直面したとCisco Talosの勧告は指摘しています。

報告書はまた、ロシア・ウクライナ紛争の開始以降、ウクライナ組織への標的化が激化したことを付け加え、企業インフラが地政学的な紛争で武器化される様子を示しました。

6年前の脆弱性が依然として猛威を振るう

このキャンペーンの中心にあるのはCVE-2018-0171で、Cisco IOSソフトウェアのSmart Install機能に影響を与え、認証されていないリモート攻撃者が任意のコードを実行したり、サービス拒否状態を引き起こしたりできる重大な脆弱性です。

Ciscoが2018年にこの脆弱性を修正したにもかかわらず、Static Tundraは特にサポート終了（EOL）となった未修正機器を引き続き悪用していたとCiscoの勧告は付け加えています。

Beagle SecurityのアドバイザーであるSunil Varkey氏は、ネットワーク機器は他のシステムと比べてファームウェアのリリースサイクルが緩やかなため、持続的な悪用に特に脆弱だと説明しました。

「ネットワーク機器の一般的な寿命は約10年です」とVarkey氏は指摘し、この脆弱性は2006年から2018年までの機器に存在していたため、「脆弱なシステムの数は非常に多い可能性があります」と述べました。

この脅威が特に懸念されるのは、Smart Installが影響を受ける機器でデフォルトで有効になっていたためです。「脆弱性を考慮すると、対象となるすべての機器で設定変更が必要であり、パッチが適用されていない場合は今すぐ対応することが急務です」とVarkey氏は強調しました。

高度な攻撃手法

Cisco Talosの調査によると、Static Tundraは自動化ツールを用いて、ShodanやCensysなどの公開スキャンサービスで特定された可能性のある機器に対してCVE-2018-0171を悪用する高度な手法を採用していました。

攻撃が成功すると、攻撃者はローカルTFTPサーバーを有効化して機器の設定情報を抽出し、より直接的なシステムアクセスのための認証情報やSNMPコミュニティストリングを入手しました。

Static Tundraは、侵害したSNMPコミュニティストリングを通じて長期的なアクセスを維持し、特権を持つローカルユーザーアカウントを作成して持続的なアクセスを確保しました。また、「SYNful Knock」マルウェアインプラントも展開し、これは機器の再起動後も存続し、特別に細工されたネットワークパケットによって起動できました。

最も高度な手法として、脅威アクターはGeneric Routing Encapsulation（GRE）トンネルを確立して、情報価値の高いネットワークトラフィックをリダイレクト・取得し、NetFlowデータを収集して侵害されたネットワークインフラを流れる通信パターンを特定していたとCiscoは勧告で述べています。

実証された妨害の実績

このキャンペーンは、特にロシアが現実世界の運用被害をもたらしてきた実績を考えると、企業インフラのセキュリティにとって存亡の脅威であることを浮き彫りにしました。FBIは、この活動の背後にいるFSB第16センターが、10年以上にわたり世界中のネットワーク機器を持続的に侵害してきたと指摘しています。

Varkey氏は脅威状況の憂慮すべき変化を指摘しました。「以前はバックドア付きの偽造ネットワーク機器を心配していましたが、今や正規の機器に存在するオープンな脆弱性が簡単に悪用され、妨害される時代になっています。」

脅威の戦略的性質は、敵対者が侵害をすぐには明かさない可能性があることからも明らかです。「敵対者は侵害を誇示せず、状況が求められたときにスパイ活動や敵対的な乗っ取りを選択する方が有利だと考えるでしょう」とVarkey氏は説明しました。

企業の対応要件

セキュリティ専門家は即時対応を推奨し、企業の対応は技術的なパッチ適用だけでなく、包括的な事業継続計画にまで拡張する必要があると強調しました。組織はサポート終了機器の徹底的なレビューを実施し、もはやセキュリティ更新を受けられない機器を特定して交換または隔離する必要があります。

ベンダーサポートのないサポート終了機器については、Varkey氏は「パッチ適用が選択肢でない場合、さまざまな代替策や補完的なコントロールを検討する必要がある」と提案しました。彼は可視性の重要性を強調し、「これらの機器の構成情報を含むインベントリを組織が持っているかどうか」を問いました。

企業のリーダーは、ネットワーク機器の侵害が顧客へのサービス提供、生産システム、収益を生み出す業務にまで波及する可能性があることを理解しなければなりません。

Varkey氏は、従来の脅威モデリングや事業継続計画では、これらネットワーク層の脆弱性に十分対応できない可能性があり、従来のセキュリティコントロールを回避し、事業運営に直接影響を及ぼすインフラレベルの攻撃に企業が備えられていないかもしれないと指摘しました。