Le FBI et Cisco Talos mettent en garde contre une unité de FSB russe sophistiquée menaçant l’infrastructure du réseau d’entreprise et la continuité des activités dans les secteurs critiques.
Les cyber-acteurs russes parrainés par l’État liés au Federal Security Service (FSB) ont mené une campagne d’espionnage d’une décennie qui a compromis des milliers d’appareils de réseau d’entreprise dans les secteurs critiques du monde, selon un avis du FBI.
L’acteur de menace, désigné «Tundra statique» de Cisco Talos et précédemment connu sous le nom de «Berserk Bear» et «Dragonfly», a systématiquement exploité CVE-2018-0171, une vulnérabilité de six ans dans l’installation de Cisco Smart (SMI), pour obtenir un accès en profondeur à l’infrastructure de réseau d’entreprise et à la réception de la réception des systèmes de contrôle industriel.
« Les acteurs ont utilisé l’accès non autorisé pour réaliser la reconnaissance des réseaux de victimes, qui ont révélé leur intérêt pour les protocoles et les applications généralement associés aux systèmes de contrôle industriel », a déclaré le FBI dans son avis.
Compromis d’infrastructure répandu
Le FBI a révélé qu’au cours de la dernière année seulement, les cyber-acteurs de FSB russes ont collecté des fichiers de configuration à partir de milliers d’appareils de réseautage associés aux entités américaines dans plusieurs secteurs d’infrastructure critiques.
Les attaquants ont modifié les fichiers de configuration sur des appareils vulnérables pour établir un accès non autorisé persistant qui pourrait perturber les opérations commerciales.
Pour les sociétés de télécommunications, le compromis des appareils de réseau central a menacé la prestation de services à des millions de clients et les perturbations potentielles de communication à l’échelle nationale.
Les organisations manufacturières ont été confrontées à des risques pour les systèmes de production et les opérations de la chaîne d’approvisionnement, tandis que les universités ont été menacées sur les réseaux de recherche et l’infrastructure des services aux étudiants, a noté le conseil Cisco Talos.
Le rapport a ajouté que le ciblage s’est intensifié contre les organisations ukrainiennes depuis le début du conflit de Russie-Ukraine, démontrant comment les infrastructures d’entreprise ont été armées dans les conflits géopolitiques.
La vulnérabilité de six ans faisait toujours des ravages
Au cœur de cette campagne se trouve le CVE-2018-0171, une vulnérabilité critique qui a affecté la fonction d’installation intelligente du logiciel Cisco IOS et a permis aux attaquants distants non authentifiés de exécuter du code arbitraire ou de déclencher des conditions de déni de service.
Malgré Cisco à réparer la faille en 2018, Static Tundra a continué à exploiter les appareils non corrigés, en particulier ceux qui ont atteint le statut de fin de vie, a ajouté le Cisco Advisory.
Sunil Varkey, conseiller chez Beagle Security, a expliqué que les appareils réseau suivent généralement un calendrier de libération de firmware plus détendu par rapport à d’autres systèmes, ce qui les rend particulièrement vulnérables à l’exploitation persistante.
« La durée de vie typique d’un dispositif de réseau peut être d’environ 10 ans », a noté Varkey, soulignant que cette vulnérabilité existait dans des appareils de 2006 à 2018, ce qui signifie que «le nombre de systèmes vulnérables pourrait être très élevé.»
La menace s’est avérée particulièrement préoccupante car l’installation intelligente a été activée par défaut sur les appareils affectés. « Tous les appareils dans la portée ont besoin d’un changement de configuration, compte tenu de la vulnérabilité, qui est le besoin urgent de l’heure s’il n’est pas corrigé », a souligné Varkey.
Méthodes d’attaque sophistiquées
Cisco Talos Research a révélé la méthodologie sophistiquée de Tundra statique, en commençant par des outils automatisés pour exploiter CVE-2018-0171 contre les appareils probablement identifiés par le biais de services publics comme Shodan ou Censys.
Après une exploitation réussie, les attaquants ont permis aux serveurs TFTP locaux d’extraire les configurations de périphériques, révélant des informations d’identification et des chaînes de communauté SNMP pour un accès plus direct sur le système.
Static Tundra a maintenu un accès à long terme grâce à des chaînes de communauté SNMP compromises tout en créant des comptes d’utilisateurs locaux privilégiés pour assurer un accès persistant. Le groupe a également déployé l’implant malware «knock synful», qui a persisté à travers des redémarrages de périphériques et pourrait être activé via des paquets de réseau spécialement conçus.
Dans leurs techniques les plus avancées, les acteurs de la menace ont établi des tunnels d’encapsulation de routage générique (GRE) pour rediriger et capturer le trafic réseau de la valeur de l’intelligence, tout en collectant des données NetFlow pour identifier les modèles de communication qui coulent dans l’infrastructure de réseau compromise, a déclaré Cisco dans l’avis.
Débit des perturbations éprouvées
La campagne a mis en évidence une menace existentielle pour la sécurité des infrastructures d’entreprise, en particulier compte tenu des antécédents éprouvés de la Russie pour causer des dommages opérationnels réels. Le FBI a noté que l’unité FSB Center 16 derrière cette activité a mené une campagne soutenue de compromis les appareils de réseautage dans le monde pendant plus d’une décennie.
Varkey a observé un changement troublant dans le paysage des menaces: «Plus tôt, nous craignons des appareils de réseau contrefaits avec des déambulations; maintenant il tourne vers des appareils légitimes avec des vulnérabilités ouvertes faciles à exploiter et à perturber.»
La nature stratégique de la menace est devenue évidente si l’on considère que les adversaires pourraient ne pas révéler immédiatement leur compromis. « Les adversaires peuvent ne pas se montrer avec leur compromis, car l’espionnage et la prise de contrôle hostile lorsque la situation mandater sera une meilleure option », a expliqué Varkey.
Exigences de réponse de l’entreprise
Les experts en sécurité ont recommandé une action immédiate, soulignant que la réponse de l’entreprise doit s’étendre au-delà des correctifs techniques à la planification complète de la résilience commerciale. Les organisations doivent effectuer des examens approfondis des appareils de fin de vie pour identifier et remplacer ou isoler les appareils qui ne peuvent plus recevoir de mises à jour de sécurité.
Pour les dispositifs de fin de vie sans support des fournisseurs, les organisations suggérées par Varkey devraient «travailler sur divers raccourcis ou compenser les contrôles car le correctif peut ne pas être une option». Il a souligné que la visibilité est restée cruciale, demandant si les organisations avaient «un inventaire de ces appareils avec des détails de configuration».
Les chefs d’entreprise doivent comprendre que le compromis de dispositif de réseau pourrait se faire entendre dans les perturbations de service affectant la livraison des clients, les systèmes de production et les opérations générateurs de revenus.
Varkey a souligné que la modélisation traditionnelle des menaces et la planification de la continuité des activités pourraient ne pas aborder de manière adéquate ces vulnérabilités de la couche de réseau, ce qui signifie que les entreprises pourraient être non préparées aux attaques au niveau des infrastructures qui pourraient contourner les contrôles de sécurité traditionnels et avoir un impact direct sur les opérations commerciales.
