A Tundra estática, um ator de ameaças patrocinadas pelo Estado russo conectado à unidade Center 16 do FSB, foi responsável por um esforço sustentado de espionagem cibernética, de acordo com informações divulgadas pela Cisco Talos.
Operando por mais de uma década, este grupo é especializado em comprometer dispositivos de rede para facilitar a coleta de inteligência de longo prazo, com foco na extração de dados de configuração dos sistemas IOS Cisco não patched e de fim de vida.
Avaliado com alta confiança como um sub-cluster do urso energético mais amplo (também conhecido como Berserk Bear), a Tundra estática emprega táticas avançadas que se sobrepõem às operações históricas, incluindo a implantação do implante de firmware da Synful Knock reportado pela primeira vez em 2015.
A sofisticação da campanha reside em sua capacidade de manter acesso não detectado por anos, girando entre as redes para atingir organizações de interesse estratégico ao governo russo, como as de setores de telecomunicações, ensino superior e manufatura na América do Norte, Ásia, África e Europa.
As vítimas são selecionadas com base na relevância geopolítica, com uma notável escalada em ataques contra entidades ucranianas desde o início do conflito da Rússia-Ucrânia, expandindo-se de compromissos seletivos para intrusões mais amplas em várias verticais.
Exploração de vulnerabilidades legadas
No centro das operações da Tundra estática está a exploração agressiva da CVE-2018-0171, uma execução de código remoto de sete anos e negação de serviço A vulnerabilidade no recurso Smart Install da Cisco, que foi corrigida em 2018, mas permanece não abordada em muitos dispositivos herdados.
O grupo automatiza a exploração usando as ferramentas sob medida, provavelmente informadas por dados de varredura pública de serviços como Shodan ou Censys, para direcionar endereços IP predefinidos.
O acesso inicial envolve acionar a falha para ativar um servidor TFTP local, permitindo a exfiltração de configuração que expõe credenciais e seqüências comunitárias SNMP para infiltração mais profunda.
As táticas de execução incluem emissão de comando baseada em SNMP, geralmente com endereços de origem falsificados para evitar as ACLs, permitindo modificações de configuração e downloads de arquivos remotos que adicionam contas de backdoor ou ativam serviços como a telnet.
Para persistência, a Tundra estática depende de seqüências de strings SNMP comprometidas, contas locais privilegiadas e o implante de batida sinistral, que injeta módulos maliciosos no firmware da Cisco iOS para acesso resistente à reinicialização por meio de pacotes SINK SYN criados.
As técnicas de evasão de defesa abrangem as configurações de alteração do TACACS+ para interromper o registro e aprimorando as ACLs para os IPs controlados pelo atacante da lista de permissões.
De acordo com o relatórioDiscovery aproveita comandos nativos como “Mostrar vizinhos CDP” para mapeamento interno, enquanto a coleta envolve túneis GRE para redirecionamento de tráfego e colheita de dados do NetFlow.
A exfiltração ocorre através de TFTP, FTP ou SNMP usando o Cisco-Config-Copy-MIB, garantindo transferência de dados furtivos para servidores externos.
Implicações mais amplas
Esta campanha ressalta uma tendência mais ampla entre os atores patrocinados pelo Estado, incluindo os da Rússia, que priorizam os compromissos de dispositivos de rede para seus pontos de vista estratégicos na infraestrutura global.
A adaptabilidade da Tundra estática, o foco, de acordo com as prioridades geopolíticas da Rússia, destaca os riscos de negligenciar o hardware de fim de vida, pois dispositivos não atingidos com instalação inteligente ativada continuam a servir como ponto de entrada para roubo de configuração e Espionagem persistente.
As organizações são aconselhadas a priorizar patches abrangentes para CVE-2018-0171, desativar a instalação inteligente por meio de “No VStack” em sistemas inquestáveis e adotar medidas de endurecer, como senhas Tipo 8, criptografia SNMPV3 e autenticação de multifatores.
O monitoramento deve incluir auditorias de syslog para obter lacunas de registro, perfil de netflow para tráfego anômalo e gerenciamento de configuração centralizado para impedir que os dispositivos se tornem fontes não confiáveis.
Os scripts de detecção para guias sinistrosos de batida e forense podem ajudar na identificação de implantes, enquanto as melhores práticas gerais enfatizam atualizações agressivas, segmentação de rede e protocolos de gerenciamento criptografados para combater operações APT semelhantes.
Indicadores de compromisso (IOCs)
| Indicador | Tipo | Atividade conhecida |
|---|---|---|
| 185.141.24.222 | Endereço IP | 2023/03/23 |
| 185.82.202.34 | Endereço IP | 2025/01/15 – 2025/02/28 |
| 185.141.24.28 | Endereço IP | 2024/10/01 – 2025/07/03 |
| 185.82.200.181 | Endereço IP | 2024/10/01 – 2024/11/15 |
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!