This post is also available in:
English (אנגלית)
קבוצת ריגול סייבר המקושרת למדינה הרוסית נמצאה מנצלת באופן פעיל חולשה מוכרת בציוד רשת של חברת Cisco — על אף שקיים תיקון לפגם זה כבר מספר שנים. מאמץ זה מהווה חלק מקמפיין רחב יותר, שמאמינים כי מטרתו איסוף מודיעין על תשתיות בארצות הברית ובעלות בריתה.
החולשה, שזוהתה כ־CVE-2018-0171, משפיעה על פרוטוקול Smart Install במערכות ההפעלה Cisco IOS ו־IOS XE. היא מאפשרת לתוקפים בלתי מזוהים להריץ קוד מרחוק או לגרום להשבתת שירות על גבי מכשירים פגיעים. אף כי Cisco פרסמה תיקון בשנת 2018, מכשירים שלא עודכנו או שממשיכים להפעיל את תכונת Smart Install נותרים חשופים.
הגורם הפעיל בקמפיין הנוכחי זוהה בשם Static Tundra, ולפי הדיווחים הוא בוחר מטרות בהתאם לחשיבותן האסטרטגית עבור רוסיה — בדגש על אוקראינה ומדינות מערביות. יחידת המודיעין של סיסקו טאלוס מדווחת כי טקטיקות הקבוצה מתפתחות בהתאם לשינויים בסדרי העדיפויות הגיאופוליטיים של רוסיה.
לאחר חדירה ראשונית לרשתות, התוקפים נעים רוחבית במערכות, אוספים קובצי קונפיגורציה מראוטרים וממתגים, ומקימים דלתות אחוריות לצורך גישה ארוכת טווח. לפי Cisco Talos, אלפי התקני רשת קריטיים הממוקמים בארה"ב עלולים כבר להיות פגיעים או נגועים.
ה־FBI אישר את הממצאים, והזהיר כי שחקנים הקשורים לשירות הביטחון הפדרלי הרוסי (FSB) מנצלים הן ציוד מיושן והן חולשות לא מתוקנות, דוגמת CVE-2018-0171. כמו כן, נמסר כי נעשה שימוש בפרוטוקול SNMP (Simple Network Management Protocol) לצורך איסוף מידע מהמערכות הנפגעות.
הדיווחים מצביעים על כך שהתוקפים שינו קבצי קונפיגורציה כדי לשמר גישה מתמשכת ולא מורשית למערכות מסוימות. הפעילות מצביעה על עניין מיוחד במערכות בקרה תעשייתיות, אשר לעיתים קרובות מסתמכות על חומרה ופרוטוקולים מיושנים.
קבוצת Static Tundra נחשבת כקבוצת-משנה של Energetic Bear – שחקן איום ותיק המיוחס ליחידה 16 של ה־FSB, בהתאם לכתב אישום שהוגש ב־2022 על ידי משרד המשפטים האמריקאי.
חברת Cisco ממליצה לארגונים שאינם יכולים להחיל את התיקון הרלוונטי להשבית לחלוטין את תכונת Smart Install. עדכון תוכנה שוטף ונטרול שירותים שאינם בשימוש נותרים צעדים חיוניים לצמצום החשיפה לקמפיינים שמקורם במדינות עוינות.
