Hackers do FBS exploraram falha antiga em dispositivos Cisco

O FBI e a Cisco Talos, o braço de inteligência em ameaças da Cisco, emitiram um alerta sobre um grupo hacker russo, conhecido como Static Tundra. Segundo as agências, o grupo tem explorado ativamente uma falha de segurança de sete anos em dispositivos Cisco IOS e Cisco IOS XE para estabelecer acesso persistente a redes em todo o mundo.

A campanha de espionagem cibernética, direcionada a organizações de telecomunicações, ensino superior e manufatura, afeta vítimas na América do Norte, Ásia, África e Europa. A Cisco Talos informou que as vítimas são escolhidas com base em seu "interesse estratégico" para a Rússia, com os esforços recentes focando na Ucrânia e em seus aliados, especialmente desde o início da guerra em 2022.

A falha e a sofisticação do ataque

A vulnerabilidade explorada, identificada como CVE-2018-0171 (com pontuação de 9.8 na escala CVSS), é uma falha crítica na função Smart Install do software Cisco. Essa brecha permite que um invasor não autenticado execute código arbitrário ou cause uma condição de negação de serviço (DoS) de forma remota.

Além disso, a mesma falha teria sido usada por outro grupo hacker, o Salt Typhoon (também conhecido como Operator Panda), alinhado à China, em ataques contra provedores de telecomunicações dos EUA no final de 2024.

Segundo a Cisco Talos, o Static Tundra está ligado ao Centro 16 do Serviço Federal de Segurança (FSB) da Rússia e opera há mais de uma década, com foco em operações de coleta de inteligência de longo prazo. O grupo é considerado um subconjunto do Berserk Bear, que também é conhecido por outros nomes, como Crouching Yeti e Dragonfly.

O FBI confirmou que observou hackers ligados ao FSB explorando essa falha para mirar entidades nos EUA e globalmente, principalmente na infraestrutura crítica. Durante os ataques, os invasores coletavam arquivos de configuração de milhares de dispositivos de rede e os modificavam para garantir acesso não autorizado.

Após invadir as redes, o hacker realizava reconhecimento e implantava ferramentas personalizadas como o SYNful Knock, um implante de roteador detectado pela primeira vez em 2015. Essa ferramenta é uma modificação no firmware do roteador que garante a persistência do invasor e pode ser atualizada modularmente.

Outro aspecto notável dos ataques é o uso do protocolo SNMP para enviar instruções para baixar um arquivo de texto de um servidor remoto e adicioná-lo à configuração atual, permitindo meios adicionais de acesso aos dispositivos. A evasão de defesas é alcançada pela modificação da configuração do TACACS+, que interfere nas funções de registro remoto.

Como os hackers encontram suas vítimas e o objetivo da operação

Os pesquisadores da Cisco Talos, Sara McBroom e Brandon White, afirmaram que o Static Tundra provavelmente usa dados de varredura publicamente disponíveis, de serviços como Shodan ou Censys, para identificar sistemas vulneráveis.

Uma das principais ações do grupo é capturar o tráfego de rede valioso para fins de inteligência. Isso é feito configurando túneis GRE (Generic Routing Encapsulation) que redirecionam o tráfego para a infraestrutura do hacker. Eles também coletam e extraem dados do NetFlow dos sistemas comprometidos.

As atividades do Static Tundra se concentram em dispositivos de rede sem patches, e muitas vezes no fim de sua vida útil, com o objetivo de obter acesso inicial e facilitar operações secundárias contra alvos de interesse relacionados. Ao conseguir o primeiro acesso, os hackers se aprofundam no ambiente, invadindo dispositivos de rede adicionais para garantir acesso de longo prazo e coleta de informações.

Recomendações de segurança

Para mitigar os riscos, a Cisco aconselha os clientes a aplicarem o patch da vulnerabilidade CVE-2018-0171 ou, se a correção não for uma opção, desativar a função Smart Install. A Cisco Talos conclui que a campanha tem como propósito comprometer e extrair informações de configuração de dispositivos em massa. Esses dados podem ser usados posteriormente conforme os objetivos estratégicos do governo russo mudam ao longo do tempo.

Via - THN