Een door Russische door de staat gesponsorde cyberspionagegroep bekend als Statische toendra is waargenomen actief te benutten van een zevenjarige beveiligingsfout in Cisco IOS en Cisco IOS XE-software als een middel om aanhoudende toegang tot doelwetwerken te vestigen.
Cisco Talos, die details over de activiteit onthulde, zei dat de aanvallen single -out organisaties in telecommunicatie, hoger onderwijs en productiesectoren in Noord -Amerika, Azië, Afrika en Europa hebben bekendgemaakt. Potentiële slachtoffers worden gekozen op basis van hun “strategische belang” aan Rusland, voegde het eraan toe, met recente inspanningen gericht tegen Oekraïne en haar bondgenoten na het begin van de Russisch-Oekraïense oorlog in 2022.
De kwetsbaarheid in kwestie is CVE-2018-0171 (CVSS-score: 9.8), een kritische fout in de slimme installatie-functie van Cisco IOS-software en Cisco IOS XE-software die een niet-geverifieerde, afgelegen aanvaller kan toestaan om een Denial-of-Service (DOS) -conditie of de uitvoering van arbitrare code te activeren.
Het is vermeldenswaard dat het beveiligingsdefect waarschijnlijk ook is bewapend door de China-uitgelijnde Salt Typhoon (AKA-operator Panda) actoren als onderdeel van aanvallen die zich richten op Amerikaanse telecommunicatieaanbieders eind 2024.
Statische toendra, per Talos, wordt beoordeeld als gekoppeld aan de Federal Security Service (FSB) Center 16-eenheid en meer dan tien jaar operationeel, met een focus op langdurige inlichtingenverzamelingsactiviteiten. Er wordt aangenomen dat het een subcluster is van een andere groep die wordt gevolgd als Berserk Bear, Crouching Yeti, Dragonfly, Energetic Bear en Havex.
Het US Federal Bureau of Investigation (FBI) zei in een gelijktijdig advies dat het FSB-cyberactoren heeft waargenomen “het gebruik van een eenvoudig netwerkbeheerprotocol (SNMP) en eind-of-life netwerkapparaten met een niet-geplande kwetsbaarheid (CVE-2018-0171) in CISCO Smart Install (SMI) in de Verenigde Staten en Globally.”
In deze aanvallen zijn de dreigingsactoren gevonden die configuratiebestanden verzamelen voor duizenden netwerkapparaten die verband houden met Amerikaanse entiteiten in kritieke infrastructuursectoren. De activiteit wordt ook gekenmerkt door de aanvallers die configuratiebestanden op gevoelige apparaten wijzigen om ongeautoriseerde toegang te vergemakkelijken.
De voet aan de grond wordt dan misbruikt om verkenning uit te voeren binnen de slachtoffernetwerken, terwijl ze tegelijkertijd aangepaste tools zoals Synfly Knock inzetten, een routerimplantaat dat voor het eerst werd gemeld door Mandiant in september 2015.
“Synful Knock is een heimelijke aanpassing van het firmwarebeeld van de router die kan worden gebruikt om persistentie te behouden binnen het netwerk van een slachtoffer,” zei het bedrijf inlichtingenbedrijf destijds. “Het is aanpasbaar en modulair van aard en kan dus worden bijgewerkt zodra ze worden geïmplanteerd.”
Een ander opmerkelijk aspect van de aanvallen betreft het gebruik van SNMP om instructies te verzenden om een tekstbestand van een externe server te downloaden en toe te voegen aan de huidige lopende configuratie om extra toegang tot de netwerkapparaten mogelijk te maken. Defensieontduiking wordt bereikt door de TACACS+ -configuratie op geïnfecteerde apparaten te wijzigen om te interfereren met externe logboekfuncties.
“Statische toendra gebruikt waarschijnlijk publiekelijk beschikbare scangegevens van diensten zoals Shodan of Censys om systemen van belang te identificeren,” zeiden Talos-onderzoekers Sara McBroom en Brandon White. “Een van de primaire acties van de statische toendra bij doelstellingen is het vastleggen van netwerkverkeer dat van waarde zou zijn vanuit een intelligentieperspectief.”
Dit wordt bereikt door het opzetten van generieke routing-encapsulatie (GRE) tunnels die het verkeer van interesse omleiden naar aan aanvallers gecontroleerde infrastructuur. De tegenstander is ook gezien het verzamelen en exfiltreren van netflow -gegevens over gecompromitteerde systemen. De geoogste gegevens worden geëxfiltreerd via uitgaande TFTP- of FTP -verbindingen.
De activiteiten van Static Tundra zijn voornamelijk gericht op niet-gepatchte, en vaak eind-of-leven, netwerkapparaten met als doel toegang te krijgen op primaire doelen en het faciliteren van secundaire activiteiten tegen gerelateerde doelen van interesse. Bij het verkrijgen van initiële toegang, begraven de dreigingsacteurs dieper in het milieu en hacken ze extra netwerkapparaten voor langetermijntoegang en informatie-verzameling.
Om het risico van de dreiging te verminderen, adviseert Cisco klanten om de patch voor CVE-2018-0171 toe te passen of slimme installatie uit te schakelen als patching geen optie is.
“Het doel van deze campagne is het massaal compromitteren en extraheren van apparaatconfiguratie-informatie, die later kan worden gebruikt als dat nodig is op basis van de toenmalige strategische doelen en belangen van de Russische regering,” zei Talos. “Dit wordt aangetoond door de aanpassing van de statische toendra en verschuivingen in operationele focus naarmate de prioriteiten van Rusland in de loop van de tijd zijn veranderd.”
