Kritik altyapı güvenliği, siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç
Koyu destekli Cisco Gear’ın istismarlarına bağlı devlet destekli casusluk grubu
Mathew J. Schwartz (Euroinfosec) •
21 Ağustos 2025
ABD Federal Hükümeti Çarşamba günü uyaran Rus istihbarat bilgisayar korsanları, ağ temel dayanağı Cisco Systems tarafından daha gizli ve devam eden siber sorumluluk operasyonları için yapılan eski ve satılmamış ekipmanları kullanıyor.
En azından geçen yıl, bilgisayar korsanları “kritik altyapı sektörlerinde ABD’li kuruluşlarla ilişkili binlerce ağ cihazı için yapılandırma dosyaları topluyor” ve dosyaları ağ ekipmanına yetkili erişim elde etmek için kullanıyor. “Aktörler, kurban ağlarında keşif yapmak için yetkisiz erişimi kullandılar, bu da endüstriyel kontrol sistemleriyle yaygın olarak ilişkili protokollere ve uygulamalara olan ilgilerini ortaya çıkardılar.”
ABD hükümeti, saldırıları Center 16 olarak bilinen bir FSB birimine bağlar. Grup, saldırganların bir cihazda keyfi kod yürütmek için kullanabileceği CVE-2018-0171 olarak izlenen Cisco cihazlarının akıllı kurulum özelliğinde bir güvenlik açığından yararlanmaktadır.
Networking devinin tehdidi Intel Arm olan Cisco Talos, “statik tundra” olarak izlediği saldırıların arkasındaki tehdit kümesinin, birincil hedeflere erişim sağlamak ve ilgili faaliyet hedeflerine karşı ikincil operasyonları desteklemek için düzenli olarak “hedefleri ve genellikle ömrü sonu, ağ cihazlarını söyledi.
Araştırmacılar, grubun Ukrayna ve müttefik ülkelerdeki telekomünikasyon, yüksek öğrenim ve üretim sektörlerini, aynı zamanda Rusya için siyasi veya stratejik bir ilgiye sahip olanlar da dahil olmak üzere küresel olarak diğer kuruluşları en sık hedeflediğini söyledi.
2021’den bu yana, bilgisayar korsanları, yerel önemsiz dosya aktarım protokolünü veya TFTP’yi, bir cihazdaki TFTP’yi, sunucuyu etkinleştirmek için uzun süredir devam eden CVE-2018-0171 güvenlik açığını “agresif bir şekilde kullanıyor”.
Araştırmacılar, statik Tundra’nın 2022 iddianamedeki ABD hükümetinin ilk olarak FSB’nin merkezine bağlı olduğu enerjik ayı, yani Berserk Bear ve Dragonfly olarak izlenen daha büyük bir FSB biriminin bir parçası olduğunu söyledi (bkz: bkz:: Fedler uzun vadeli enerji sektörü saldırılarına sahip 4 Rus suçlamayı).
FBI, “On yıldan fazla bir süredir, bu birim küresel olarak ağ cihazlarını tehlikeye attı, özellikle SMI ve SNMP sürümleri 1 ve 2 gibi eski şifrelenmemiş protokolleri kabul eden cihazlar.” Dedi. “Bu birim ayrıca 2015 yılında ‘Synful Knock’ olarak tanımlanan kötü amaçlı yazılımlar gibi belirli Cisco cihazlarına özel araçlar da kullandı.”
Synful vurma “yönlendirici implantı”, bir Cisco iOS görüntüsünü enjekte etmek ve bir yönlendiriciye yüklemek için tasarlanmıştır, saldırganlara on yıl önce kötü amaçlı yazılımlara verilen bir takma ABD siber güvenlik firması FireEye olan cihaza erişimi sağlar.
Saldırganların hedefi basittir: Bir kurbanın ortamına, mümkün olduğunca gizli bir şekilde nüfuz etmek.
Cisco Talos, “Bir ağ cihazına ilk erişim sağladıktan sonra, Static Tundra hedef ortama daha da dönecek, ek ağ cihazlarından ödün verecek ve uzun vadeli kalıcılık ve bilgi toplama için kanallar oluşturacak.” Dedi. Diyerek şöyle devam etti: “Bu, grubun tespit edilmeden birkaç yıl boyunca hedef ortamlara erişimi sürdürme yeteneği ile gösterilmiştir.”
Hedeflenen ekipmanı korumak için Cisco Talos, CVE-2018-0171’in hemen yama yapmasını veya akıllı kurulumun devre dışı bırakılmasını önerir. Bu özellik, son yarım on yıl boyunca tekrarlanan uyarıların konusu olmuştur. 2017’nin başlarında Cisco, bilgisayar korsanlarının yönlendiricileri kesmek için “tak ve oynatma” yapılandırma ve “görüntü yönetimi özelliği” kullandıkları konusunda uyardı. Aynı yıl yayınlanan NSA’dan rehberlik, kullanıcılara akıllı kurulumu devre dışı bırakmalarını tavsiye etti. Her sistem yöneticisi bunu yapmadı, çünkü Çin ulus devlet korsanları Salt Typhoon olarak izlendi, aynı zamanda ABD telekom sistemlerine hacklemek için kırılganlığı kullandı (bkz:: Talos: Salt Typhoon Telecom Hacks’de Cisco Sıfır Gün Kullanılmadı).
FBI, 2018’den itibaren siber güvenlik ve altyapı güvenliği uyarısına işaret etti. Ayrıca Mayıs ayından CISA rehberliğine, OT ortamlarının kilitlenmesi konusunda da atıfta bulundu.