Static Tundra sfrutta una vecchia vulnerabilità Cisco per spionaggio

Un gruppo di cyber spionaggio legato ai servizi segreti russi sta sfruttando una falla di sicurezza risalente a sette anni fa nei software Cisco IOS e IOS XE. L’allarme arriva da Cisco Talos che ha osservato attività riconducibili a Static Tundra, un gruppo collegato all’FSB e operativo da oltre un decennio impegnato nella raccolta di intelligence a lungo termine.

Secondo i ricercatori, il gruppo prende di mira settori sensibili come telecomunicazioni, università e manifatturiero, con attacchi documentati in Nord America, Europa, Asia e Africa. Negli ultimi anni le attività si sono concentrate soprattutto contro l’Ucraina e i suoi alleati, in parallelo al conflitto avviato nel 2022.

Una vulnerabilità critica mai scomparsa

Il punto d’ingresso sfruttato dagli attaccanti è la CVE-2018-0171, una vulnerabilità critica (CVSS 9.8) nel protocollo Smart Install che può consentire a un aggressore remoto e non autenticato di provocare denial of service o eseguire codice arbitrario. Nonostante la patch sia disponibile dal 2018, molti dispositivi vulnerabili restano esposti, in particolare quelli obsoleti o non più supportati.

Lo stesso difetto era stato già sfruttato in passato da altri gruppi di hacker di stato: tra questi il gruppo cinese Salt Typhoon, che nel 2024 lo aveva utilizzato contro provider statunitensi.

Il Federal Bureau of Investigation (FBI) conferma in una nota che le operazioni di Static Tundra hanno coinvolto migliaia di apparati di rete negli Stati Uniti e a livello globale. Gli attaccanti avrebbero sfruttato anche SNMP e altri protocolli deboli per raccogliere file di configurazione, manipolare le impostazioni dei dispositivi e creare accessi non autorizzati.

Una volta stabilita la testa di ponte, i criminali conducono attività di ricognizione interna e installano tool personalizzati come SYNful Knock, un impianto malevolo sui router che modifica il firmware per mantenere persistenza e può essere aggiornato nel tempo. In alcuni casi, hanno utilizzato SNMP per scaricare file da server esterni e modificarne la configurazione oppure alterato i parametri TACACS+ per eludere i sistemi di logging.

Le operazioni mirano anche a intercettare traffico sensibile: gli attaccanti creano tunnel GRE per dirottare pacchetti verso infrastrutture controllate dal gruppo, oppure raccolgono dati NetFlow ed esfiltrano le informazioni tramite connessioni TFTP o FTP.

Target, finalità strategiche e contromisure

Static Tundra si concentra soprattutto su apparati non aggiornati o a fine vita, sfruttandoli come trampolino per spingersi più a fondo nelle reti delle vittime. L’obiettivo è ottenere informazioni di valore strategico e garantire un accesso a lungo termine, adattando le proprie operazioni agli interessi geopolitici russi del momento.

Cisco sottolinea che lo scopo della campagna è la raccolta massiva di configurazioni e dati di reteche possono essere sfruttati in tempi successivi in base alle priorità governative di Mosca.

L’azienda ha aggiornato il bollettino relativo alla CVE-2018-0171, ribadendo che la falla è tuttora sfruttata attivamente. La raccomandazione è di applicare senza ritardi le patch disponibili o, laddove non sia possibile aggiornare, disabilitare la funzione Smart Install.

• attacchi rete, Cisco IOS, Cisco IOS XE, Cisco Talos, CVE-2018-0171, cyber spionaggio Russia, FBI advisory, FSB, router compromessi, sicurezza informatica, Smart Install, spionaggio informatico, Static Tundra, SYNful Knock, vulnerabilità Cisco