Gli hacker russi sfruttano una vulnerabilita' obsoleta di Cisco per compromettere le reti aziendali internazionali.
In un recente sviluppo, gli esperti di sicurezza hanno sollecitato un'azione immediata per le aziende, sottolineando la necessità di una pianificazione della resilienza aziendale completa oltre alle patch tecniche. Questo appello all'azione arriva in risposta alla campagna Static Tundra, un'operazione di spionaggio decennale che ha compromesso migliaia di dispositivi di rete aziendale in tutto il mondo.
Al centro di questa campagna c'è CVE-2018-0171, una vulnerabilità critica scoperta nel software Cisco IOS Smart Install, che ha interessato i dispositivi dal 2006 al 2018. Questa falla ha consentito agli aggressori remoti non autenticati di eseguire codice arbitrarrio o di scatenare condizioni di negazione del servizio. Static Tundra, precedentemente noto come "Berserk Bear" e "Dragonfly", ha sfruttato questa vulnerabilità per ottenere un accesso profondo alle infrastrutture di rete aziendale.
Il gruppo ha mantenuto questo accesso attraverso le stringhe della comunità SNMP compromesse e la creazione di account utente locali privilegiati. Dopo il successo dell'esploit, gli aggressori hanno attivato i server TFTP locali per estrarre le configurazioni dei dispositivi, rivelando le credenziali e le stringhe della comunità SNMP per l'accesso diretto al sistema.
L'attacco si è intensificato contro le organizzazioni ucraine sin dall'inizio del conflitto Russia-Ucraina, dimostrando come le infrastrutture aziendali possono essere utilizzate come armi in conflitti geopolitici. Per le compagnie di telecomunicazioni, il compromesso dei dispositivi di rete centrale minacciava la consegna dei servizi a milioni di clienti e potenziali interruzioni della comunicazione a livello nazionale. Le organizzazioni manifatturiere hanno affrontato i rischi per i sistemi di produzione e le operazioni della catena di fornitura, mentre le università hanno affrontato le minacce alle reti di ricerca e all'infrastruttura dei servizi per gli studenti.
Static Tundra ha raccolto i dati NetFlow per identificare i modelli di comunicazione che scorrevano attraverso l'infrastruttura di rete compromessa. Hanno anche stabilito tunnel di incapsulamento generico (GRE) per reindirizzare e catturare il traffico di rete di intelligence. Il gruppo haployed il malware "SYNful Knock", che persisteva attraverso il riavvio del dispositivo e poteva essere attivato tramite pacchetti di rete appositamente creati.
Il centro 16 dell'FSB, sospettato di essere responsabile di questa attività, ha condotto una campagna prolungata di compromissione dei dispositivi di rete in tutto il mondo per più di un decennio. Nell'ultimo anno, gli attori cyber dell'FSB russo hanno raccolto i file di configurazione da migliaia di dispositivi di rete associati alle entità USA in diversi settori dell'infrastruttura critica.
Per i dispositivi fuori dal ciclo di vita senza supporto del vendor, le organizzazioni potrebbero dover "lavorare su diverse scorciatoie o controlli compensativi poiché il patching potrebbe non essere un'opzione". despite Cisco patching the flaw in 2018, Static Tundra continued exploiting unpatched devices.
La natura strategica della minaccia è diventata evidente quando si considera che gli aggressori potrebbero non rivelare subito il loro compromesso. Gli aggressori hanno modificato i file di configurazione sui dispositivi vulnerabili per stabilire l'accesso non autorizzato persistente che potrebbe disturbare le operazioni aziendali.
L'unità russa sospettata di essere responsabile della minaccia contro l'infrastruttura di rete aziendale e la sicurezza operativa nei settori critici, come menzionato in un avviso dell'FBI e nel rapporto di Cisco Talos, è probabile che sia legata a una unità militare o di intelligence russa. Tuttavia, il nome specifico dell'unità non è stato esplicitamente identificato nei risultati della ricerca forniti.
Leggi anche:
- Considerando il bisogno di una casa di cura per mia madre, dovrei ridurre i suoi beni per renderla idonea al Medicaid?
- La società di gioco d'azzardo BlueBet è stata multata da VGCCC con 50.000 dollari australiani per aver violato le regole della pubblicità
- Gli oratori annunciati per l'evento FUEL Manchester 2025
- "TOH WEI SOONG: La vera prova sta nel superare i limiti personali e rimanere fedeli alle proprie abilita'".
