استغلال ثغرة Cisco CVE-2018-0171 من قبل مجموعة Static Tundra الروسية في هجمات تجسسية

كشفت شركة Cisco Talos أن مجموعة تجسس إلكتروني مدعومة من الدولة الروسية تُعرف باسم Static Tundra تستغل ثغرة أمنية عمرها سبع سنوات في أنظمة Cisco IOS وCisco IOS XE من أجل الحصول على وصول دائم إلى الشبكات المستهدفة.

وأوضحت الشركة أن هذه الهجمات تستهدف منظمات في قطاعات الاتصالات والتعليم العالي والتصنيع عبر أميركا الشمالية وآسيا وأفريقيا وأوروبا. ويتم اختيار الضحايا المحتملين بناءً على “أهميتهم الاستراتيجية” بالنسبة لروسيا، مع تركيز حديث على أوكرانيا وحلفائها منذ اندلاع الحرب الروسية الأوكرانية عام 2022.

الثغرة المستغلة

الثغرة المستهدفة هي CVE-2018-0171 (بمعدل خطورة 9.8 وفق CVSS)، وهي ثغرة خطيرة في ميزة Smart Install في أنظمة Cisco IOS وIOS XE. هذه الثغرة تسمح لمهاجم عن بُعد وغير مصادق بتنفيذ هجمات حجب الخدمة (DoS) أو تشغيل تعليمات برمجية عشوائية.

وقد استُغلت نفس الثغرة سابقًا من قبل مجموعات قرصنة أخرى مثل Salt Typhoon المدعومة من الصين، حيث استهدفت مزوّدي اتصالات أميركيين في أواخر عام 2024.

ارتباط بالمخابرات الروسية

تشير التقييمات إلى أن Static Tundra مرتبطة بوحدة المركز 16 التابعة لجهاز الأمن الفيدرالي الروسي (FSB) وتعمل منذ أكثر من عقد، مع تركيز رئيسي على عمليات جمع المعلومات الاستخباراتية طويلة الأمد. ويُعتقد أنها مجموعة فرعية من مجموعات أكبر مثل: Berserk Bear، Crouching Yeti، Dragonfly، Energetic Bear، Havex.

أساليب الهجوم

ذكرت مكتب التحقيقات الفيدرالي (FBI) أن هذه الهجمات تضمنت:

• استغلال بروتوكول SNMP وأجهزة الشبكة المنتهية الدعم التي لم تُحدّث ضد الثغرة CVE-2018-0171.

• جمع ملفات التكوين لآلاف أجهزة الشبكات المرتبطة بقطاعات البنية التحتية الحيوية في الولايات المتحدة.

• تعديل ملفات الإعداد على الأجهزة لتمكين وصول غير مصرح به.

• زرع أدوات مخصصة مثل SYNful Knock، وهو برمجية خبيثة تُعدّل برمجيات أجهزة التوجيه لتوفير وصول دائم وسري.

كما يستخدم المهاجمون SNMP لتحميل ملفات نصية من خوادمهم ودمجها في إعدادات الأجهزة، مع تعديل إعدادات TACACS+ لتعطيل أنظمة تسجيل الدخول عن بُعد، ما يعزز قدرات التمويه.

تقنيات التجسس

بحسب باحثي Talos، يعتمد المهاجمون على بيانات الفحص العامة من خدمات مثل Shodan وCensys لتحديد الأنظمة المستهدفة. وتشمل أنشطتهم:

• اعتراض وتحويل حركة المرور عبر أنفاق GRE إلى بنية تحتية يسيطرون عليها.

• جمع وتصدير بيانات NetFlow من الأنظمة المخترقة باستخدام بروتوكولات مثل TFTP وFTP.

• اختراق أجهزة شبكة إضافية لتعزيز السيطرة طويلة الأمد داخل بيئة الضحية.

التوصيات الأمنية

أوصت Cisco عملاءها بـ:

• تطبيق التحديث الأمني لثغرة CVE-2018-0171 فورًا.

• أو تعطيل ميزة Smart Install إذا كان التحديث غير ممكن.

وأشارت الشركة إلى أن الهدف الأساسي للحملة هو جمع بيانات تكوين الأجهزة على نطاق واسع، لاستخدامها لاحقًا بما يخدم الأهداف الاستراتيجية الروسية المتغيرة بمرور الوقت.