حذر مكتب التحقيقات الفيدرالي الأمريكي (FBI) من حملة تجسس إلكتروني تقودها مجموعة قرصنة روسية مدعومة من الدولة تُعرف باسم Static Tundra، والتي تستغل ثغرة أمنية حرجة في برمجيات Cisco IOS وCisco IOS XE تعود إلى سبع سنوات، بهدف الحصول على وصول دائم إلى شبكات الضحايا.
الثغرة الأمنية المستغلة CVE-2018-0171
الثغرة المستغلة تحمل الرقم CVE-2018-0171 بدرجة خطورة 9.8 وفق تصنيف CVSS، وهي موجودة في ميزة Smart Install الخاصة بأجهزة Cisco. يمكن أن تتيح هذه الثغرة للمهاجمين غير الموثقين تنفيذ هجمات حجب الخدمة (DoS) أو تشغيل تعليمات برمجية خبيثة عن بُعد.
وبحسب Cisco Talos، فقد استهدفت الهجمات مؤسسات في قطاعات الاتصالات، التعليم العالي، والتصنيع في أمريكا الشمالية، آسيا، إفريقيا وأوروبا. وتُختار الضحايا بناءً على أهميتهم الاستراتيجية لروسيا، مع تركيز خاص على أوكرانيا وحلفائها منذ اندلاع الحرب الروسية الأوكرانية عام 2022.
علاقة Static Tundra بالاستخبارات الروسية
يرجح أن تكون Static Tundra مرتبطة بوحدة المركز 16 التابع لجهاز الأمن الفيدرالي الروسي (FSB)، وهي مجموعة تعمل منذ أكثر من عقد، وتركز على جمع المعلومات الاستخباراتية طويلة الأمد. كما يُعتقد أنها فرع من مجموعات أخرى معروفة مثل Berserk Bear وDragonfly.
وفي تحذير متزامن، أكدت الـFBI أن قراصنة FSB يستغلون بروتوكول SNMP وأجهزة شبكية انتهى دعمها الرسمي، عبر الثغرة غير المُرقعة نفسها، لاستهداف كيانات في الولايات المتحدة وعالميًا.
آلية الهجوم وأدوات الاختراق
أظهرت التحقيقات أن المهاجمين جمعوا ملفات التهيئة لآلاف الأجهزة الشبكية المرتبطة بقطاعات البنية التحتية الحرجة في الولايات المتحدة، كما قاموا بتعديل إعدادات الأجهزة الضعيفة لتسهيل الوصول غير المصرح به.
ومن أبرز الأدوات التي استُخدمت في هذه العمليات SYNful Knock، وهو زرع خفي في برمجيات أجهزة التوجيه، اكتشف لأول مرة عام 2015، يتميز بقدرته على البقاء داخل الشبكة لفترات طويلة وتحديث نفسه عند الحاجة.
كما استغل القراصنة بروتوكول SNMP لتنزيل ملفات نصية من خوادم بعيدة وإضافتها إلى إعدادات الأجهزة بهدف إنشاء منافذ وصول إضافية. وللتخفي، قاموا بتعديل إعدادات TACACS+ لتعطيل وظائف تسجيل الدخول عن بُعد.
جمع بيانات الشبكات والتجسس طويل الأمد
أوضح باحثو Talos أن Static Tundra تعتمد على بيانات المسح المتاحة من خدمات مثل Shodan وCensys لاختيار أهدافها. وتتمثل إحدى أولوياتها في التقاط وتحويل حركة مرور الشبكات ذات القيمة الاستخباراتية عبر أنفاق GRE لإعادة توجيهها إلى خوادم خاضعة لسيطرتهم.
كما لوحظ أن المجموعة تقوم بجمع بيانات NetFlow من الأنظمة المصابة ثم تسريبها عبر اتصالات TFTP أو FTP للخارج.
وتركز أنشطة المجموعة بشكل أساسي على الأجهزة غير المحدثة أو المنتهية الصلاحية، مما يمنحها موطئ قدم أولي يمكن استغلاله لاحقًا لاختراق أجهزة إضافية داخل بيئات الضحايا والحصول على وصول طويل الأمد.
تحذيرات Cisco وتوصيات الحماية
نصحت Cisco عملاءها بضرورة تطبيق التحديث الأمني الخاص بالثغرة CVE-2018-0171 بشكل عاجل، أو تعطيل ميزة Smart Install إذا لم يكن التحديث ممكنًا.
وأكدت الشركة أن الهدف الرئيسي من هذه الحملة هو جمع بيانات إعدادات الأجهزة على نطاق واسع، ليتم استغلالها لاحقًا بما يتماشى مع الأهداف الاستراتيجية للحكومة الروسية، وهو ما يظهر من خلال تكيف Static Tundra مع تغير أولويات موسكو بمرور الوقت.
