Il gruppo di cyberspionaggio statale russo noto come Static Tundra è stato recentemente individuato mentre sfrutta una vulnerabilità critica di Cisco IOS e Cisco IOS XE, identificata come CVE-2018-0171. Questo difetto, presente nel componente Smart Install delle soluzioni Cisco, permette a un attaccante remoto non autenticato di causare condizioni di denial-of-service o addirittura eseguire codice arbitrario sui dispositivi bersaglio. Nonostante la vulnerabilità sia stata scoperta e corretta nel 2018, molti dispositivi restano ancora senza patch, rappresentando un bersaglio ideale per attacchi sofisticati di cyber spionaggio.

Campagne e obiettivi di Static Tundra

Le campagne di Static Tundra prendono di mira principalmente organizzazioni nei settori delle telecomunicazioni, dell’istruzione superiore e della manifattura, soprattutto in Nord America, Asia, Africa ed Europa. La selezione delle vittime avviene in base all’interesse strategico per la Russia e, negli ultimi anni, l’attenzione si è concentrata su Ucraina e suoi alleati dopo l’inizio della guerra nel 2022.

Collegamenti, tecniche e scopi dell’attività

Il gruppo, collegato all’unità Center 16 del FSB, agisce da oltre un decennio e viene considerato un sottogruppo di altre entità note come Berserk Bear, Dragonfly o Energetic Bear. Static Tundra sfrutta la vulnerabilità CVE-2018-0171 principalmente su dispositivi non aggiornati o giunti a fine vita, con lo scopo di ottenere accesso persistente alla rete delle vittime e raccogliere informazioni sensibili.

Gli attacchi osservati nell’ultimo anno hanno portato al furto di file di configurazione da migliaia di dispositivi di rete appartenenti a enti statunitensi, soprattutto in infrastrutture critiche. Gli aggressori, oltre a raccogliere dati, modificano i file di configurazione per mantenere l’accesso non autorizzato e installano strumenti personalizzati come SYNful Knock, un impianto malevolo in grado di rendere persistente la compromissione e facilitare ulteriori intrusioni.

Strumenti e tecniche avanzate utilizzate

Il gruppo utilizza anche tecniche avanzate, come la manipolazione del protocollo SNMP per scaricare file da server remoti e alterare la configurazione dei dispositivi, nonché la modifica delle impostazioni TACACS+ per eludere i sistemi di logging e rilevamento.

Raccomandazioni di sicurezza

La raccomandazione di Cisco è di applicare urgentemente la patch per CVE-2018-0171 o, laddove non possibile, disabilitare la funzione Smart Install. L’obiettivo finale di questa campagna è la raccolta massiva di informazioni di configurazione dei dispositivi, che possono essere sfruttate dalla Russia per ulteriori operazioni strategiche. La persistenza e l’adattamento delle tattiche di Static Tundra dimostrano l’importanza di mantenere aggiornati i dispositivi di rete per difendersi da minacce evolute.