Static Tundra, một tác nhân đe dọa được chính phủ Nga bảo trợ, có liên hệ với đơn vị Center 16 của FSB, đã và đang thực hiện các nỗ lực gián điệp mạng kéo dài. Nhóm này chuyên xâm nhập các thiết bị mạng để thu thập thông tin tình báo dài hạn, tập trung vào việc trích xuất dữ liệu cấu hình từ các hệ thống Cisco IOS chưa được vá lỗi và đã hết vòng đời. Hoạt động này làm nổi bật nguy cơ từ các hệ thống cũ và lỗ hổng bảo mật nghiêm trọng như lỗ hổng CVE-2018-0171.

Static Tundra: Mối Đe Dọa Mạng Tiềm Ẩn

Hoạt Động Gián Điệp Lâu Năm

Static Tundra được đánh giá với độ tin cậy cao là một phân nhóm của Energetic Bear (hay còn gọi là BERSERK BEAR). Nhóm này đã hoạt động hơn một thập kỷ, triển khai các chiến thuật tinh vi trùng lặp với các hoạt động lịch sử. Điều này bao gồm việc sử dụng SYNful Knock firmware implant, một phần mềm cấy ghép độc hại vào firmware của Cisco IOS, được báo cáo lần đầu vào năm 2015.

Mục Tiêu và Phạm Vi Tấn Công

Chiến dịch của Static Tundra nổi bật nhờ khả năng duy trì quyền truy cập không bị phát hiện trong nhiều năm. Nhóm này chuyển hướng qua nhiều mạng để nhắm mục tiêu vào các tổ chức có lợi ích chiến lược đối với chính phủ Nga. Các lĩnh vực mục tiêu bao gồm viễn thông, giáo dục đại học và sản xuất trên khắp Bắc Mỹ, Châu Á, Châu Phi và Châu Âu.

Việc lựa chọn nạn nhân dựa trên yếu tố địa chính trị. Đáng chú ý, có sự leo thang đáng kể trong các tấn công mạng chống lại các thực thể Ukraine kể từ khi xung đột Nga-Ukraine bắt đầu. Phạm vi tấn công đã mở rộng từ các sự cố xâm nhập chọn lọc sang các cuộc xâm nhập rộng hơn trên nhiều ngành dọc.

Phân Tích Kỹ Thuật Lỗ Hổng CVE-2018-0171

Khai Thác Ban Đầu

Cốt lõi các hoạt động của Static Tundra là việc khai thác triệt để lỗ hổng CVE-2018-0171. Đây là một lỗ hổng thực thi mã từ xa (RCE) và từ chối dịch vụ (DoS) đã tồn tại bảy năm trong tính năng Smart Install của Cisco. Mặc dù đã được vá vào năm 2018, nhiều thiết bị cũ vẫn chưa được khắc phục.

Nhóm này tự động hóa việc khai thác bằng các công cụ chuyên dụng. Các công cụ này có thể được phát triển dựa trên dữ liệu quét công khai từ các dịch vụ như Shodan hoặc Censys để nhắm mục tiêu vào các địa chỉ IP được xác định trước. Quyền truy cập ban đầu liên quan đến việc kích hoạt lỗi để bật máy chủ TFTP cục bộ. Điều này cho phép trích xuất cấu hình, làm lộ thông tin đăng nhập và chuỗi cộng đồng SNMP để xâm nhập sâu hơn.

Các Kỹ Thuật Duy Trì Quyền Truy Cập

Các chiến thuật thực thi bao gồm việc phát hành lệnh dựa trên SNMP, thường với địa chỉ nguồn giả mạo để né tránh ACL. Điều này cho phép sửa đổi cấu hình và tải xuống tệp từ xa, nhằm thêm tài khoản backdoor hoặc kích hoạt các dịch vụ như TELNET.

Để duy trì quyền truy cập (persistence), Static Tundra dựa vào các chuỗi SNMP đã bị xâm nhập, các tài khoản cục bộ có đặc quyền, và SYNful Knock implant. Implant này tiêm các module độc hại vào firmware của Cisco IOS. Điều này giúp duy trì quyền truy cập ngay cả sau khi khởi động lại hệ thống, thông qua các gói TCP SYN được chế tạo đặc biệt.

Đánh Cắp Dữ Liệu và Né Tránh Phát Hiện

Các kỹ thuật né tránh phòng thủ bao gồm việc thay đổi cài đặt TACACS+ để làm gián đoạn việc ghi nhật ký và điều chỉnh ACL để đưa các IP do kẻ tấn công kiểm soát vào danh sách trắng. Quá trình thu thập thông tin (discovery) tận dụng các lệnh gốc như show cdp neighbors để lập bản đồ nội bộ mạng. Quá trình thu thập dữ liệu (collection) liên quan đến các đường hầm GRE để chuyển hướng lưu lượng và thu thập dữ liệu NetFlow.

Router#show cdp neighbors

Việc trích xuất dữ liệu (exfiltration) xảy ra thông qua TFTP, FTP hoặc SNMP sử dụng CISCO-CONFIG-COPY-MIB. Điều này đảm bảo việc truyền dữ liệu tàng hình đến các máy chủ bên ngoài.

Chiến dịch này nhấn mạnh một xu hướng rộng hơn trong số các tác nhân được nhà nước bảo trợ, bao gồm cả những quốc gia ngoài Nga. Họ ưu tiên việc xâm phạm các thiết bị mạng do vị trí chiến lược của chúng trong cơ sở hạ tầng toàn cầu.

Biện Pháp Phòng Ngừa và Phát Hiện

Khả năng thích ứng của Static Tundra, với việc thay đổi trọng tâm phù hợp với các ưu tiên địa chính trị của Nga, làm nổi bật rủi ro khi bỏ qua phần cứng hết vòng đời. Các thiết bị chưa được vá lỗi với Smart Install được bật vẫn tiếp tục là điểm truy cập cho việc đánh cắp cấu hình và hoạt động gián điệp kéo dài.

Cập Nhật Bản Vá và Cấu Hình An Toàn

Các tổ chức được khuyến nghị ưu tiên vá lỗi toàn diện cho lỗ hổng CVE-2018-0171. Đối với các hệ thống không thể vá, hãy tắt Smart Install bằng lệnh no vstack. Ngoài ra, cần áp dụng các biện pháp tăng cường bảo mật như sử dụng mật khẩu Type 8, mã hóa SNMPv3 và xác thực đa yếu tố (MFA).

Router(config)#no vstack

Thông tin chi tiết về lỗ hổng CVE-2018-0171 có thể tham khảo thêm tại NVD NIST và phân tích sâu hơn về Static Tundra tại Cisco Talos.

Giám Sát và Phản Ứng

Việc giám sát cần bao gồm kiểm tra nhật ký syslog để phát hiện các khoảng trống ghi nhật ký. Cần lập hồ sơ NetFlow để nhận diện lưu lượng bất thường và quản lý cấu hình tập trung để ngăn chặn các thiết bị trở thành nguồn không đáng tin cậy. Các kịch bản phát hiện cho SYNful Knock và hướng dẫn pháp y có thể hỗ trợ việc xác định các phần mềm cấy ghép độc hại. Các thực hành tốt nhất chung nhấn mạnh việc cập nhật tích cực, phân đoạn mạng và các giao thức quản lý được mã hóa để chống lại các hoạt động APT tương tự.