Statik Tundra olarak adlandırılan Rus devlet destekli bir siber casusluk grubu, yapılandırma verilerini çalmak ve kritik altyapı ağlarında kalıcı erişim sağlamak için Cisco ağ cihazlarında yedi yıllık bir kırılganlıktan aktif olarak yararlanmaktadır.
Rusya’nın Federal Güvenlik Servisi (FSB) Center 16 ünitesiyle bağlantılı olan sofistike tehdit oyuncusu, 2015’ten bu yana açılmamış ve yaşam sonu ağ cihazlarını hedefliyor ve operasyonlar Rusya-Ukraine çatışmasının ardından önemli ölçüde artıyor.
Kampanya, Cisco IOS Software’in akıllı yükleme özelliğinde daha önce açıklanmış bir güvenlik açığı olan CVE-2018-0171 çevresinde, kimlik doğrulanmamış uzak saldırganların keyfi kod yürütmesine veya hizmet reddi koşullarını tetiklemesine izin veriyor.
Cisco’nun 2018’de yamalar vermesine rağmen, Static Tundra güvenlik güncellemelerini uygulamayan veya destek yaşam döngüsünün ötesinde eski cihazları çalıştıran organizasyonları kullanan başarı bulmaya devam ediyor.
Statik Tundra’nın kurbanları, Kuzey Amerika, Asya, Afrika ve Avrupa’daki telekomünikasyon, yüksek öğrenim ve üretim sektörlerine yayılmıştır.
Grup, tespit edilmeden birkaç yıl boyunca uzlaşmış ortamlara erişimi sürdürerek dikkate değer bir kalıcılık gösterir.
Cisco Talos analistleri, grubun ağ altyapısı ve ısmarlama sömürü araçlarının konuşlandırılması konusundaki ileri bilgilerini not ederek, sofistike ağ cihazı uzlaşmalarının sürekli analizi yoluyla tehdit kümesini belirledi.
Saldırı Metodolojisi ve Konfigürasyon Defiltrasyonu
Static Tundra, Shodan veya Censys gibi kamu tarama hizmetlerinden toplanan önceden belirlenmiş hedef listelere karşı akıllı kurulum kırılganlığının otomatik olarak kullanılması ile başlayarak yapılandırma hırsızlığı için metodik bir yaklaşım kullanır.
Başarılı bir sömürü üzerine, saldırganlar komutu kullanarak yerel önemsiz dosya aktarım protokolü (TFTP) hizmetlerini etkinleştirmek için hemen çalışan yapılandırmayı değiştirir:-
tftp-server nvram:startup-configBu komut, statik Tundra’nın ikincil bir bağlantı kurmasına ve cihazın başlangıç yapılandırma dosyasını almasına izin veren geçici bir TFTP sunucusu oluşturur.
Çıkarılan yapılandırmalar genellikle daha derin ağ penetrasyonunu kolaylaştıran hassas kimlik bilgileri ve basit ağ yönetimi protokolü (SNMP) topluluk dizeleri içerir.
Tehdit aktörleri, bu uzlaşmış kimlik bilgilerini ağ ortamları aracılığıyla yanal olarak döndürmek için kullanarak, erişim kontrol listelerini atlamak için sahte kaynak adresleri olan SNMP protokollerini kullanarak kullanırlar.
Statik Tundra, ayrıcalıklı yerel kullanıcı hesapları oluşturulması ve istihbarat değerinin ağ trafiğini yönlendirmek ve yakalamak için jenerik yönlendirme kapsülleme tünelleri oluşturma ve derhal finansal kazançtan ziyade uzun vadeli casusluk üzerine odaklandıklarını gözlemlemiştir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.