Cisco Talos tarafından yayınlanan bilgilere göre, FSB’nin Center 16 birimine bağlı Rus devlet destekli bir tehdit oyuncusu olan Static Tundra, sürekli bir siber casusluk çabasından sorumlu.
On yılı aşkın bir süredir faaliyet gösteren bu grup, uzun vadeli istihbarat toplamayı kolaylaştırmak için ağ cihazlarından ödün vermede uzmanlaşmıştır ve yapılandırılmamış ve yaşam sonu Cisco IOS sistemlerinden yapılandırma verilerini çıkarmaya odaklanmaktadır.
Daha geniş enerjik ayının (Berserk Bear olarak da bilinir) bir alt kümesi olarak yüksek güvenle değerlendirilen Static Tundra, 2015 yılında ilk olarak bildirilen sinik vuruşlu ürün yazılımı implantı da dahil olmak üzere tarihi işlemlerle örtüşen gelişmiş taktikler kullanır.
Kampanyanın karmaşıklığı, Kuzey Amerika, Asya, Afrika ve Avrupa’daki telekomünikasyon, yükseköğretim ve üretim sektörlerinde olanlar gibi Rus hükümetine stratejik ilgi duyan organizasyonları hedeflemek için ağlar arasında dönen, ağlar arasında dönme yeteneğinde yatmaktadır.
Mağdurlar, Jeopolitik alaka düzeyine dayanarak seçilir ve Rusya-Ukrayna çatışmasının başlangıcından bu yana Ukrayna kuruluşlarına yönelik saldırılarda dikkate değer bir artış, seçici uzlaşmalardan çoklu dikeyler arasındaki daha geniş müdahalelere kadar genişler.
Eski güvenlik açıklarının sömürülmesi
Statik Tundra’nın operasyonlarının merkezinde, 2018’de yamalanan ancak birçok eski cihazda eklenmemiş olan Cisco’nun Akıllı Kurulum özelliğinde yedi yaşındaki bir uzaktan kod yürütme ve hizmet reddi kırılganlığı olan CVE-2018-0171’in agresif sömürüsü bulunmaktadır.
Grup, önceden tanımlanmış IP adreslerini hedeflemek için Shodan veya Censys gibi hizmetlerden genel tarama verileriyle bilgilendirilen ısmarlama araçları kullanarak sömürü otomatikleştirir.
Başlangıç erişimi, yerel bir TFTP sunucusunu etkinleştirmek için kusurun tetiklenmesini ve daha derin infiltrasyon için kimlik bilgilerini ve SNMP topluluk dizelerini ortaya çıkaran yapılandırma eksfiltrasyonuna izin vermeyi içerir.
Yürütme taktikleri, genellikle ACL’lerden kaçmak için sahte kaynak adresleri olan SNMP tabanlı komut yayınlanmasını içerir, yapılandırma değişikliklerini ve arka kapı hesaplarını ekleyen veya telnet gibi hizmetleri etkinleştiren uzaktan dosya indirmelerini sağlar.
Kalıcılık için, statik Tundra uzlaşılmış SNMP dizelerine, ayrıcalıklı yerel hesaplara ve hazırlanmış TCP SYN paketleri aracılığıyla yeniden başlatma dirençli erişim için kötü amaçlı modülleri Cisco IOS ürün yazılımına enjekte eden sinik vuruş implantına dayanır.
Savunma kaçırma teknikleri, taccs+ ayarlarını değiştirmeyi kapsar ve ACL’leri beyaz liste saldırgan kontrollü IP’lere indirgemek ve ayarlamak için ayarları kapsar.
Rapora göre Discovery, dahili haritalama için “CDP komşularını gösterin” gibi yerel komutları kullanırken, koleksiyon trafik yeniden yönlendirme ve netflow veri hasat için GRE tünellerini içerir.
Eksfiltrasyon, Cisco-Config-Copy-MIB kullanılarak TFTP, FTP veya SNMP yoluyla gerçekleşir ve harici sunuculara gizli veri aktarımını sağlar.
Daha geniş sonuçlar
Bu kampanya, küresel altyapıdaki stratejik bakış açılarından dolayı ağ cihazından öncelik veren Rusya’nın ötesinde olanlar da dahil olmak üzere devlet destekli aktörler arasında daha geniş bir eğilimin altını çiziyor.
Statik Tundra’nın uyarlanabilirlik değişimi, Rusya’nın jeopolitik öncelikleri doğrultusunda, yaşam sonu donanımını ihmal etme risklerini vurgulamaktadır, çünkü etkin akıllı kurulumla yapılan açılmamış cihazlar yapılandırma hırsızlığı ve kalıcı casusluk için giriş noktaları olarak hizmet etmeye devam etmektedir.
Kuruluşlara CVE-2018-0171 için kapsamlı bir yamaya öncelik vermeleri, akıllı yüklemeyi açılamayan sistemlerde “VSTACK” yoluyla devre dışı bırakmaları ve Tip 8 şifreler, SNMPV3 şifrelemesi ve çok faktörlü kimlik doğrulama gibi sertleştirme önlemlerini benimsemeleri önerilir.
İzleme, günlük boşlukları için syslog denetimleri, anormal trafik için netflow profil oluşturma ve cihazların güvenilmez kaynaklar olmasını önlemek için merkezi yapılandırma yönetimi içermelidir.
Synful vuruş ve adli kılavuzlar için algılama komut dosyaları implantların tanımlanmasına yardımcı olabilirken, genel en iyi uygulamalar benzer APT operasyonlarına karşı koymak için agresif güncellemeleri, ağ segmentasyonunu ve şifrelenmiş yönetim protokollerini vurgulamaktadır.
Uzlaşma Göstergeleri (IOCS)
| Gösterge | Tip | Bilinen etkinlik |
|---|---|---|
| 185.141.24.222 | IP adresi | 2023/03/23 |
| 185.82.202.34 | IP adresi | 2025/01/15 – 2025/02/28 |
| 185.141.24.28 | IP adresi | 2024/10/01 – 2025/07/03 |
| 185.82.200.181 | IP adresi | 2024/10/01 – 2024/11/15 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!