O Federal Bureau of Investigation (FBI) emitiu um aviso gritante ao setor público, do setor privado e dos parceiros internacionais sobre ameaças cibernéticas persistentes de atores afiliados ao Centro 16 do Serviço Federal de Segurança Federal (FSB).
Esta unidade, reconhecida nos círculos de segurança cibernética sob apelidos como “Berserk Bear” e “Dragonfly”, vem explorando ativamente as vulnerabilidades na infraestrutura de rede, particularmente focando em protocolo de gerenciamento de rede (SNMP) e falhas não patches nos dispositivos CISCO no final da vida.
Uma vulnerabilidade importante destacada é a CVE-2018-0171, que afeta a funcionalidade da Cisco Smart Install (SMI), permitindo Acesso não autorizado e manipulação de configurações de dispositivo.
No ano passado, as investigações do FBI descobriram esses atores colhendo arquivos de configuração de milhares de dispositivos de rede vinculados a entidades dos EUA em setores críticos de infraestrutura, incluindo energia, transporte e serviços públicos.
Exploração de vulnerabilidades legadas
Em vários casos, os intrusos alteraram essas configurações para facilitar o acesso não autorizado persistente, permitindo que eles realizem reconhecimento detalhado nas redes de vítimas.
Esse reconhecimento mostrou um interesse particular em protocolos e aplicações integrais aos sistemas de controle industrial (ICS), como os utilizados em ambientes de tecnologia operacional (OT), potencialmente estabelecendo as bases para atividades mais disruptivas, como exfiltração ou sabotagem de dados.
As operações do FSB Center 16 se estendem de volta ao longo de uma década, com um padrão consistente de direcionar global dispositivos de rede Esse suporte ao legado protocolos não criptografados, incluindo as versões SNMP 1 e 2, bem como o SMI.
Esses atores demonstraram recursos sofisticados, incluindo a implantação de implantes personalizados de malware.
Um exemplo notável é o malware “Synful Knock”, divulgado publicamente em 2015, que foi incorporado diretamente ao firmware do roteador Cisco para manter a persistência de longo prazo e permitir comunicações de comando e controle.
Tais táticas exploram as fraquezas inerentes de hardware e software desatualizados, onde o status de fim de vida geralmente significa falta de atualizações de segurança, deixando os dispositivos expostos à execução do código remoto e pela violação de configuração.
Os esforços de detecção do FBI revelam que essas operações cibernéticas não são isoladas, mas parte de uma campanha mais ampla destinada a reconhecimento e potencial escalada contra infraestrutura crítica, alinhando-se com táticas conhecidas de Estado russo que priorizam a furtividade e o posicionamento estratégico nas redes adversárias.
Contexto histórico
Esse clusters de atividades, sob grupos de ameaças relacionadas, com a Cisco Talos identificando -o recentemente como “Tundra estática” em uma postagem de blog de 20 de agosto de 2025, detalhando sua análise forense das técnicas de intrusão.
O FBI enfatiza que as orientações anteriores permanecem altamente relevantes, incluindo o alerta técnico de 2018 sobre os atores russos patrocinados pelo Estado, direcionados a dispositivos de infraestrutura de rede e em 6 de maio de 2025, descrevendo as mitigações primárias para reduzir as ameaças cibernéticas à tecnologia operacional.
Esses recursos defendem o patch imediato de vulnerabilidades conhecidas como CVE-2018-0171, desativando protocolos de legado desnecessários e implementando a segmentação de rede para isolar ambientes de ICS de redes de TI mais amplas.
De acordo com o relatórioAs organizações devem monitorar indicadores de compromisso, como tráfego SNMP inesperado ou alterações de configuração não autorizadas e atualizar dispositivos de fim de vida para modelos suportados com os padrões de criptografia modernos.
No caso de suspeito de compromisso de atores vinculados ao FSB, o FBI recomenda relatórios rápidos para escritórios locais de campo ou através do Centro de Reclamação de Crimes da Internet (IC3).
Antes da submissão, as vítimas devem avaliar completamente os roteadores e equipamentos de rede quanto a anomalias, incluindo implantes de malware ou configurações alteradas, e incluir esses detalhes técnicos em relatórios para ajudar as investigações.
Essa postura proativa é crucial para interromper os esforços de reconhecimento dos atores e proteger a infraestrutura crítica de aumentar as ameaças.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!