Aggiornamenti recenti Ottobre 3rd, 2025 6:09 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- RedHat vittima di un breach: sottratti oltre 500 GB di dati
- Clearskies: la suite di sicurezza avanzata made in Europe arriva in Italia
- Ricerca FireMon: il 60% dei firewall non supera i controlli di conformità
- Scoperto ShadowLeak, un attacco che sfrutta un bug zero-click di ChatGPT
- Firewall Cisco sotto attacco: una nuova campagna prende di mira i device ASA
Static Tundra sfrutta una vecchia vulnerabilità Cisco per spionaggio
Un gruppo di cyber spionaggio legato ai servizi segreti russi sta sfruttando una falla di sicurezza risalente a sette anni fa nei software Cisco IOS e IOS XE. L’allarme arriva da Cisco Talos che ha osservato attività riconducibili a Static Tundra, un gruppo collegato all’FSB e operativo da oltre un decennio impegnato nella raccolta di intelligence a lungo termine.
Secondo i ricercatori, il gruppo prende di mira settori sensibili come telecomunicazioni, università e manifatturiero, con attacchi documentati in Nord America, Europa, Asia e Africa. Negli ultimi anni le attività si sono concentrate soprattutto contro l’Ucraina e i suoi alleati, in parallelo al conflitto avviato nel 2022.
Una vulnerabilità critica mai scomparsa
Il punto d’ingresso sfruttato dagli attaccanti è la CVE-2018-0171, una vulnerabilità critica (CVSS 9.8) nel protocollo Smart Install che può consentire a un aggressore remoto e non autenticato di provocare denial of service o eseguire codice arbitrario. Nonostante la patch sia disponibile dal 2018, molti dispositivi vulnerabili restano esposti, in particolare quelli obsoleti o non più supportati.
Lo stesso difetto era stato già sfruttato in passato da altri gruppi di hacker di stato: tra questi il gruppo cinese Salt Typhoon, che nel 2024 lo aveva utilizzato contro provider statunitensi.
Il Federal Bureau of Investigation (FBI) conferma in una nota che le operazioni di Static Tundra hanno coinvolto migliaia di apparati di rete negli Stati Uniti e a livello globale. Gli attaccanti avrebbero sfruttato anche SNMP e altri protocolli deboli per raccogliere file di configurazione, manipolare le impostazioni dei dispositivi e creare accessi non autorizzati.
Una volta stabilita la testa di ponte, i criminali conducono attività di ricognizione interna e installano tool personalizzati come SYNful Knock, un impianto malevolo sui router che modifica il firmware per mantenere persistenza e può essere aggiornato nel tempo. In alcuni casi, hanno utilizzato SNMP per scaricare file da server esterni e modificarne la configurazione oppure alterato i parametri TACACS+ per eludere i sistemi di logging.
Le operazioni mirano anche a intercettare traffico sensibile: gli attaccanti creano tunnel GRE per dirottare pacchetti verso infrastrutture controllate dal gruppo, oppure raccolgono dati NetFlow ed esfiltrano le informazioni tramite connessioni TFTP o FTP.
Target, finalità strategiche e contromisure
Static Tundra si concentra soprattutto su apparati non aggiornati o a fine vita, sfruttandoli come trampolino per spingersi più a fondo nelle reti delle vittime. L’obiettivo è ottenere informazioni di valore strategico e garantire un accesso a lungo termine, adattando le proprie operazioni agli interessi geopolitici russi del momento.
Cisco sottolinea che lo scopo della campagna è la raccolta massiva di configurazioni e dati di rete che possono essere sfruttati in tempi successivi in base alle priorità governative di Mosca.
L’azienda ha aggiornato il bollettino relativo alla CVE-2018-0171, ribadendo che la falla è tuttora sfruttata attivamente. La raccomandazione è di applicare senza ritardi le patch disponibili o, laddove non sia possibile aggiornare, disabilitare la funzione Smart Install.
Condividi l'articolo
- attacchi rete, Cisco IOS, Cisco IOS XE, Cisco Talos, CVE-2018-0171, cyber spionaggio Russia, FBI advisory, FSB, router compromessi, sicurezza informatica, Smart Install, spionaggio informatico, Static Tundra, SYNful Knock, vulnerabilità Cisco
Prompt injection nelle immagini: l’image scaling trasforma un JPEG in un esfiltratore
Lenovo, il chatbot AI “Lena” era troppo loquace
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Ricerca FireMon: il 60% dei firewall non supera i controlli... Secondo l’ultima ricerca di FireMon, azienda di... -
L’importanza delle coperture assicurative cyber per... Tra le conseguenze più impattanti degli attacchi... -
MuddyWater si evolve: attacchi più sofisticati e... La minaccia di MuddyWater non si arresta, anzi: negli... -
L’IA diventa arma e vittima per il cybercrimine: il... L’intelligenza artificiale diventa non solo... -
Report Acronis: il ransomware rimane la minaccia principale... Il ransomware continua a dilagare e rimane la minaccia...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
RedHat vittima di un breach: sottratti oltre 500 GB di dati Nelle scorse ore RedHat ha confermato di essere rimasta... -
Clearskies: la suite di sicurezza avanzata made in Europe... Odyssey è un’azienda fondata nel 2002 a Cipro,... -
Ricerca FireMon: il 60% dei firewall non supera i controlli... Secondo l’ultima ricerca di FireMon, azienda di...
-
Scoperto ShadowLeak, un attacco che sfrutta un bug... I ricercatori di Radware hanno dettagliato ShadowLeak, un... -
Firewall Cisco sotto attacco: una nuova campagna prende di... Il National Cyber Security Center (NCSC), agenzia di...
Ransomware: la serie
No posts found.