Aggiornamenti recenti Novembre 20th, 2025 2:00 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Sneaky2FA si evolve con una funzionalità Browser-in-the-Browser
- DragonForce evolve in un “cartello” ransomware e diventa più aggressivo
- Rust riduce sensibilmente le vulnerabilità di memory safety in Android
- Impressionate! Un attacco DDoS da quasi 16 Tbps contro Azure
- Il protocollo di rete “Finger” rinasce in attacchi ClickFix
Static Tundra sfrutta una vecchia vulnerabilità Cisco per spionaggio
Un gruppo di cyber spionaggio legato ai servizi segreti russi sta sfruttando una falla di sicurezza risalente a sette anni fa nei software Cisco IOS e IOS XE. L’allarme arriva da Cisco Talos che ha osservato attività riconducibili a Static Tundra, un gruppo collegato all’FSB e operativo da oltre un decennio impegnato nella raccolta di intelligence a lungo termine.
Secondo i ricercatori, il gruppo prende di mira settori sensibili come telecomunicazioni, università e manifatturiero, con attacchi documentati in Nord America, Europa, Asia e Africa. Negli ultimi anni le attività si sono concentrate soprattutto contro l’Ucraina e i suoi alleati, in parallelo al conflitto avviato nel 2022.
Una vulnerabilità critica mai scomparsa
Il punto d’ingresso sfruttato dagli attaccanti è la CVE-2018-0171, una vulnerabilità critica (CVSS 9.8) nel protocollo Smart Install che può consentire a un aggressore remoto e non autenticato di provocare denial of service o eseguire codice arbitrario. Nonostante la patch sia disponibile dal 2018, molti dispositivi vulnerabili restano esposti, in particolare quelli obsoleti o non più supportati.
Lo stesso difetto era stato già sfruttato in passato da altri gruppi di hacker di stato: tra questi il gruppo cinese Salt Typhoon, che nel 2024 lo aveva utilizzato contro provider statunitensi.
Il Federal Bureau of Investigation (FBI) conferma in una nota che le operazioni di Static Tundra hanno coinvolto migliaia di apparati di rete negli Stati Uniti e a livello globale. Gli attaccanti avrebbero sfruttato anche SNMP e altri protocolli deboli per raccogliere file di configurazione, manipolare le impostazioni dei dispositivi e creare accessi non autorizzati.
Una volta stabilita la testa di ponte, i criminali conducono attività di ricognizione interna e installano tool personalizzati come SYNful Knock, un impianto malevolo sui router che modifica il firmware per mantenere persistenza e può essere aggiornato nel tempo. In alcuni casi, hanno utilizzato SNMP per scaricare file da server esterni e modificarne la configurazione oppure alterato i parametri TACACS+ per eludere i sistemi di logging.
Le operazioni mirano anche a intercettare traffico sensibile: gli attaccanti creano tunnel GRE per dirottare pacchetti verso infrastrutture controllate dal gruppo, oppure raccolgono dati NetFlow ed esfiltrano le informazioni tramite connessioni TFTP o FTP.
Target, finalità strategiche e contromisure
Static Tundra si concentra soprattutto su apparati non aggiornati o a fine vita, sfruttandoli come trampolino per spingersi più a fondo nelle reti delle vittime. L’obiettivo è ottenere informazioni di valore strategico e garantire un accesso a lungo termine, adattando le proprie operazioni agli interessi geopolitici russi del momento.
Cisco sottolinea che lo scopo della campagna è la raccolta massiva di configurazioni e dati di rete che possono essere sfruttati in tempi successivi in base alle priorità governative di Mosca.
L’azienda ha aggiornato il bollettino relativo alla CVE-2018-0171, ribadendo che la falla è tuttora sfruttata attivamente. La raccomandazione è di applicare senza ritardi le patch disponibili o, laddove non sia possibile aggiornare, disabilitare la funzione Smart Install.
Condividi l'articolo
- attacchi rete, Cisco IOS, Cisco IOS XE, Cisco Talos, CVE-2018-0171, cyber spionaggio Russia, FBI advisory, FSB, router compromessi, sicurezza informatica, Smart Install, spionaggio informatico, Static Tundra, SYNful Knock, vulnerabilità Cisco
Prompt injection nelle immagini: l’image scaling trasforma un JPEG in un esfiltratore
Lenovo, il chatbot AI “Lena” era troppo loquace
Articoli correlati
Altro in questa categoria
Approfondimenti
-
DragonForce evolve in un “cartello” ransomware... Di recente la Threat Research Unit di Acronis ha analizzato... -
Rust riduce sensibilmente le vulnerabilità di memory... Dopo un anno dall’annuncio dell’aumento... -
Crescono le truffe ai danni dei consumatori, preoccupano... I consumatori continuano a essere colpiti molto duramente... -
In aumento gli attacchi russi e lo spionaggio contro... Nell’ultimo APT Activity Report relativo al periodo... -
Scoperte nuove vulnerabilità di ChatGPT che portano a leak... I ricercatori di Tenable Research hanno scoperto nuove...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Sneaky2FA si evolve con una funzionalità... I ricercatori di Push Security hanno scoperto che gli... -
DragonForce evolve in un “cartello” ransomware... Di recente la Threat Research Unit di Acronis ha...
-
Rust riduce sensibilmente le vulnerabilità di memory... Dopo un anno dall’annuncio dell’aumento...
-
Impressionate! Un attacco DDoS da quasi 16 Tbps contro Microsoft ha annunciato di aver subito un attacco massiccio... -
Il protocollo di rete “Finger” rinasce in... Il comando “Finger“, legato all’omonimo...
Ransomware: la serie
No posts found.