HackerNews 编译,转载请注明出处:
美国联邦调查局(FBI)和思科公司警告称,俄罗斯网络间谍组织正通过2018年发现的漏洞,持续针对未打补丁的思科网络设备发起攻击。
FBI与思科Talos部门于周三发布的联合公告指出,俄罗斯联邦安全局(FSB)第16中心的黑客组织利用漏洞 CVE-2018-0171,攻击已进入生命周期结束状态的设备,入侵目标涵盖北美、亚洲、非洲和欧洲的电信、高等教育及制造业组织。
思科Talos表示,该活动背后的组织(安全专家称为Static Tundra、Berserk Bear或Dragonfly)多年来通过思科IOS和IOS XE软件的智能安装(Smart Install)功能中未修复的漏洞入侵设备,这些设备通常因达到生命周期结束状态而无法获得补丁更新。
思科Talos指出,受害者多“基于对俄罗斯政府的战略利益价值”被选定,其中部分位于乌克兰。该机构警告称,随着俄罗斯战略利益变化,该组织很可能持续针对乌克兰及其盟国。“我们观察到最明显的目标转变是:俄乌战争爆发后,Static Tundra对乌克兰实体的攻击急剧升级并维持高位。”他们表示,“与此前有限的针对性入侵不同,该组织已渗透乌克兰多个垂直领域的机构。”
FBI称,过去一年中观察到该组织加速收集“数千台美国关键基础设施领域网络设备的配置文件”。黑客修改了部分设备的配置文件以维持对受害者系统的长期访问权限,并开展侦察活动——多数聚焦“与工业控制系统(ICS)相关的协议和应用”。
FBI认同思科的评估,即Static Tundra十余年来持续攻击同类系统,并开发定制化工具针对思科设备,包括名为SYNful Knock的恶意软件。思科Talos已发布可检测该恶意植入脚本的工具。
上周,挪威警察安全局(PST)表示,4月该国西南部一座水坝疑似遭亲俄黑客破坏——入侵控制系统后开启阀门长达四小时,大量洪水涌入里瑟尔瓦河,直至操作员重新夺回控制权。
长期渗透战略
思科Talos分析,Static Tundra的核心目标是窃取数据并建立对系统的持久访问权。该组织以“入侵受害者网络后进一步渗透并控制更多网络设备”而闻名,具备“在目标环境中潜伏多年不被发现”的能力。
“我们判断,此活动的目的是大规模窃取设备配置信息,以便根据俄罗斯政府当前的战略目标与利益需求灵活调用。”思科Talos专家解释,“Static Tundra随俄罗斯优先事项变化而调整攻击重点的行为印证了这一点。”研究人员补充称,该组织很可能利用Shodan和Censys等网络扫描服务寻找目标。
2021年,美国司法部起诉四名被控隶属Static Tundra的俄罗斯公民,指控其主导针对全球能源公司的黑客活动。这些人员专门瞄准工业技术系统:2012至2014年,他们入侵多家工业控制系统制造商与软件供应商,将Havex恶意软件植入网络。司法部指出,2014至2017年间,该组织针对“特定能源实体及从事工业系统的工程师”,波及全球136个国家超过500家企业和机构的3300余名用户,包括美国核管理委员会等政府机构。
该组织曾通过钓鱼邮件成功入侵堪萨斯州沃尔夫溪核运营公司的商业系统,并采用“水坑攻击”窃取能源领域工程师的登录凭证。思科Talos强调,除俄罗斯组织外,其他国家级黑客团体“很可能也在开展类似的网络设备入侵活动”,建议客户尽快修补漏洞、禁用智能安装功能或联系其获取协助。
消息来源: therecord;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
