サポート終了となったCiscoネットワーク機器に影響を与える7年前の脆弱性が、ロシア政府支援のサイバースパイグループによって悪用されています。
Cisco Talosは、Static Tundraとして知られるこのグループが、数年間にわたりCisco機器を侵害してきたと述べています。
ロシア系のハッカーグループは、Cisco IOSソフトウェアおよびCisco IOS XEソフトウェアのSmart Install機能に存在する、以前公開された脆弱性(CVE-2018-0171)を悪用しており、これらの機器がサポート終了後も未修正のまま残されていることが多いです。
FBIとCisco Talosは、2025年8月20日にこのキャンペーンに関する個別の警告を発表しました。
「脅威アクターは、未修正でSmart Installが有効な機器を引き続き悪用し続けるだろう」と、Cisco Talosの脅威アドバイザリは警告しています。
顧客には、CVE-2018-0171用のパッチを適用するか、パッチ適用が不可能な場合はSmart Installを無効化するよう強く推奨されています。このパッチは2018年に初めて提供されました。
この脆弱性が悪用されると、認証されていないリモートの攻撃者が対象機器をリロードさせ、サービス拒否(DoS)状態を引き起こしたり、任意のコードを実行したりする可能性があります。
ロシアにとって戦略的価値のある被害者
FBIは、Static Tundraが米国の重要インフラ分野に関連する数千台のネットワーク機器の設定ファイルを収集しているのを確認したと述べました。
Ciscoは、Static Tundraの主な標的が、北米、アジア、アフリカ、ヨーロッパの通信、大学、高等教育、製造分野の組織であると評価しています。
被害者は通常、ロシア政府にとって戦略的価値があると判断された組織が選ばれます。
Cisco Talosはまた、一部の被害者がウクライナに拠点を置いていることも指摘しています。
同社は、Static Tundraが今後もウクライナおよびその同盟国の政治的関心のある組織に焦点を当て続けると考えています。
Static Tundraによるウクライナの組織への攻撃活動は、ロシア・ウクライナ戦争の開始時に激化し、それ以降も高い水準を維持しているとCiscoの研究者は指摘しています。
関連記事:ロシアのスパイ活動がウクライナ戦争関連組織を標的に
長期的脅威「Static Tundra」
Static Tundraは、おそらくEnergetic Bear/Berserk Bear/Dragonflyのサブグループであり、10年以上にわたり活動する確立された脅威グループです。
このグループは、ロシア連邦保安庁(FSB)第16センターに所属しているとされています。
FBIによると、2015年以降、このユニットは世界中のネットワーク機器、特にSMIやSimple Network Management Protocol(SNMP)バージョン1および2などの旧式の暗号化されていないプロトコルを受け入れる機器を侵害してきました。また、2015年に公開されたマルウェアSYNful Knockのようなカスタムツールも特定のCisco機器に展開しています。
Ciscoは、このグループの主な作戦目的が2つあると評価しています。1つは、ネットワーク機器を侵害し、今後の作戦に利用可能な機器設定情報などの機密情報を収集することです。
もう1つは、長期的なスパイ活動を支援するために、ネットワーク環境への持続的なアクセスを確立することです。
Ciscoの分析によると、Ciscoネットワークインフラの世界的な普及と、それがもたらす潜在的なアクセスの大きさから、このグループはこれらの機器の悪用や、それらとやり取りし持続的に存在するためのツール開発に重点を置いているとみられます。
Static Tundraは、持続性とステルス性を重視した独自ツールを活用してこれらの目的を達成しています。その中には、CVE-2018-0171の悪用を自動化するための専用ツールも含まれています。
翻訳元: https://www.infosecurity-magazine.com/news/russian-espionage-group-targets/