Aggiornamenti recenti Gennaio 7th, 2026 5:33 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Due estensioni Chrome hanno compromesso le chat di ChatGPT e DeepSeek
- Nel 2026 sempre più attacchi autonomi AI-driven e deepfake: le previsioni di sicurezza di ClearSkies
- Grave vulnerabilità nei chip Bluetooth Airoha: molti i marchi colpiti
- Kaspersky: così funziona il mercato del lavoro nel dark web
- Kaspersky: il cybercrime finanziario ha alzato il livello nel 2025
Static Tundra sfrutta una vecchia vulnerabilità Cisco per spionaggio
Un gruppo di cyber spionaggio legato ai servizi segreti russi sta sfruttando una falla di sicurezza risalente a sette anni fa nei software Cisco IOS e IOS XE. L’allarme arriva da Cisco Talos che ha osservato attività riconducibili a Static Tundra, un gruppo collegato all’FSB e operativo da oltre un decennio impegnato nella raccolta di intelligence a lungo termine.
Secondo i ricercatori, il gruppo prende di mira settori sensibili come telecomunicazioni, università e manifatturiero, con attacchi documentati in Nord America, Europa, Asia e Africa. Negli ultimi anni le attività si sono concentrate soprattutto contro l’Ucraina e i suoi alleati, in parallelo al conflitto avviato nel 2022.
Una vulnerabilità critica mai scomparsa
Il punto d’ingresso sfruttato dagli attaccanti è la CVE-2018-0171, una vulnerabilità critica (CVSS 9.8) nel protocollo Smart Install che può consentire a un aggressore remoto e non autenticato di provocare denial of service o eseguire codice arbitrario. Nonostante la patch sia disponibile dal 2018, molti dispositivi vulnerabili restano esposti, in particolare quelli obsoleti o non più supportati.
Lo stesso difetto era stato già sfruttato in passato da altri gruppi di hacker di stato: tra questi il gruppo cinese Salt Typhoon, che nel 2024 lo aveva utilizzato contro provider statunitensi.
Il Federal Bureau of Investigation (FBI) conferma in una nota che le operazioni di Static Tundra hanno coinvolto migliaia di apparati di rete negli Stati Uniti e a livello globale. Gli attaccanti avrebbero sfruttato anche SNMP e altri protocolli deboli per raccogliere file di configurazione, manipolare le impostazioni dei dispositivi e creare accessi non autorizzati.
Una volta stabilita la testa di ponte, i criminali conducono attività di ricognizione interna e installano tool personalizzati come SYNful Knock, un impianto malevolo sui router che modifica il firmware per mantenere persistenza e può essere aggiornato nel tempo. In alcuni casi, hanno utilizzato SNMP per scaricare file da server esterni e modificarne la configurazione oppure alterato i parametri TACACS+ per eludere i sistemi di logging.
Le operazioni mirano anche a intercettare traffico sensibile: gli attaccanti creano tunnel GRE per dirottare pacchetti verso infrastrutture controllate dal gruppo, oppure raccolgono dati NetFlow ed esfiltrano le informazioni tramite connessioni TFTP o FTP.
Target, finalità strategiche e contromisure
Static Tundra si concentra soprattutto su apparati non aggiornati o a fine vita, sfruttandoli come trampolino per spingersi più a fondo nelle reti delle vittime. L’obiettivo è ottenere informazioni di valore strategico e garantire un accesso a lungo termine, adattando le proprie operazioni agli interessi geopolitici russi del momento.
Cisco sottolinea che lo scopo della campagna è la raccolta massiva di configurazioni e dati di rete che possono essere sfruttati in tempi successivi in base alle priorità governative di Mosca.
L’azienda ha aggiornato il bollettino relativo alla CVE-2018-0171, ribadendo che la falla è tuttora sfruttata attivamente. La raccomandazione è di applicare senza ritardi le patch disponibili o, laddove non sia possibile aggiornare, disabilitare la funzione Smart Install.
Condividi l'articolo
- attacchi rete, Cisco IOS, Cisco IOS XE, Cisco Talos, CVE-2018-0171, cyber spionaggio Russia, FBI advisory, FSB, router compromessi, sicurezza informatica, Smart Install, spionaggio informatico, Static Tundra, SYNful Knock, vulnerabilità Cisco
Prompt injection nelle immagini: l’image scaling trasforma un JPEG in un esfiltratore
Lenovo, il chatbot AI “Lena” era troppo loquace
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Nel 2026 sempre più attacchi autonomi AI-driven e... Il mondo della cybersecurity si appresta a vivere un 2026... -
Kaspersky: così funziona il mercato del lavoro nel dark Il dark web non è più soltanto un luogo di scambio di... -
Kaspersky: il cybercrime finanziario ha alzato il livello... Nel 2025 la pressione cyber sul settore finanziario è... -
Il cybercrime si evolve velocemente e l’IA diventa... Se c’è una cosa su cui tutti concordano è che... -
Il cybercrime si evolve e si adatta, integrando l’IA... Il secondo semestre del 2025 ha segnato un punto di svolta...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Due estensioni Chrome hanno compromesso le chat di ChatGPT... I ricercatori di OX Security hanno individuato due... -
Nel 2026 sempre più attacchi autonomi AI-driven e... Il mondo della cybersecurity si appresta a vivere un
-
Grave vulnerabilità nei chip Bluetooth Airoha: molti i... Il Bluetooth è di nuovo al centro di una grave... -
Kaspersky: il cybercrime finanziario ha alzato il livello... Nel 2025 la pressione cyber sul settore finanziario è...
-
CERT-AGID 13-19 dicembre: phishing PagoPA e smishing INPS Nel corso della settimana appena analizzata, il CERT-AGID...
Ransomware: la serie
No posts found.