Il gruppo di spionaggio russo Static Tundra sfrutta una vecchia vulnerabilità di Cisco.
Titolo: Gruppo di spionaggio informatico sponsorizzato dallo stato russo sfrutta una vulnerabilità di sette anni nei dispositivi di rete Cisco
Sottotitolo: Static Tundra mira a organizzazioni in tutto il mondo, con un focus sui settori delle telecomunicazioni, dell'istruzione superiore e della produzione.
In un recente avviso emesso dall'FBI e da Cisco Talos il 20 agosto 2025, il gruppo minaccioso ben stabilito Static Tundra è stato identificato come che sfrutta una vulnerabilità di sette anni nei dispositivi di rete Cisco. La vulnerabilità, nota come CVE-2018-0171, si trova nella funzionalità Smart Install del software Cisco IOS e del software Cisco IOS XE.
Static Tundra, un gruppo di spionaggio informatico attivo da oltre un decennio, è considerato un sottogruppo di Energetic Bear/Berserk Bear/Dragonfly. Il gruppo è stato attribuito al Centro 16 del Servizio Federale di Sicurezza della Russia (FSB).
La vulnerabilità, se sfruttata, potrebbe consentire a un attaccante non autenticato e remoto di provocare il riavvio di un dispositivo interessato, causando una condizione di negazione del servizio (DoS), o di eseguire codice arbitrarrio su un dispositivo interessato.
Per automatizzare lo sfruttamento di CVE-2018-0171, Static Tundra ha sviluppato uno strumento personalizzato. Gli obiettivi operativi principali del gruppo sono compromettere i dispositivi di rete e stabilire l'accesso persistente per lo spionaggio a lungo termine.
La correzione per CVE-2018-0171 è stata pubblicata per la prima volta nel 2018. Tuttavia, è stato notato che alcuni dispositivi fuori produzione hanno lasciato la vulnerabilità non corretta. In tali casi, ai clienti è stato consigliato di disabilitare Smart Install se il correggere non è un'opzione.
Dal 2015, Static Tundra ha compromesso dispositivi di rete in tutto il mondo, con operazioni contro entità in Ucraina che sono aumentate all'inizio della guerra Russia-Ucraina e sono rimaste elevate da allora. Le vittime vengono typically selezionate in base al loro interesse strategico per il governo russo, con alcune vittime anche basate in Ucraina.
L'FBI ha anche notato che Static Tundra ha raccolto file di configurazione su migliaia di dispositivi di rete associati a entità degli Stati Uniti in settori critici dell'infrastruttura.
Le tecniche, tecnologie e procedure (TTP) di Static Tundra sono note per la loro enfasi sulla persistenza e sull'astuzia. Il gruppo distribuisce strumenti personalizzati su determinati dispositivi Cisco, come il malware SYNful Knock.
Oltre a mirare a organizzazioni in Nord America, Asia, Africa ed Europa, Static Tundra è stato particolarmente attivo in Ucraina, concentrandosi sul compromettere i dispositivi di rete Cisco in tutto il mondo per raccogliere i dati di configurazione sensibili e stabilire l'accesso a lungo termine, probabilmente in linea con gli interessi strategici della Russia.
Mentre il panorama delle minacce continua ad evolversi, è fondamentale che le organizzazioni restino vigili e applichino le correzioni o prendano le misure necessarie per proteggere i loro dispositivi di rete contro tali minacce.
Leggi anche:
- Rivelazioni: l'impressione della Germania tra gli studiosi mondiali
- Il Parlamento europeo ha approvato una proposta di direttiva relativa alla protezione dei consumatori.
- Esplorare la fine dell'era della dipendenza: cosa fa scattare la nostra nuova indipendenza?
- Il trionfo di Trump: ripercussioni nazionali e internazionali della sua elezione
