Киберразведчики Cisco Talos раскрыли детали многолетней операции хакерской группы Static Tundra. Группа активно эксплуатирует семилетнюю уязвимость в сетевых устройствах Cisco для кража конфигурационных данных и обеспечения долгосрочного доступа к корпоративным сетям по всему миру. Основными целями хакеров становятся организации в сфере телекоммуникаций, высшего образования и промышленного производства в Северной Америке, Азии, Африке и Европе.
Описание
Согласно отчету, опубликованному 20 августа 2025 года, группа Static Tundra, тесно связанная с ранее известным объединением Energetic Bear (также известным как BERSERK BEAR), специализируется на компрометации сетевых устройств, включая те, что достигли конца жизненного цикла и более не получают обновлений безопасности. Это позволяет злоумышленникам годами оставаться незамеченными внутри сетей жертв, собирая разведывательную информацию в интересах российского правительства.
Ключевым инструментом в арсенале Static Tundra является уязвимость CVE-2018-0171 в функции Smart Install программного обеспечения Cisco IOS и Cisco IOS XE. Несмотря на то, что патч для её устранения был выпущен ещё в 2018 году, тысячи устройств по всему миру до сих пор остаются незащищенными. Группа использует специализированное программное обеспечение для автоматизации атак, сканируя интернет с помощью таких сервисов, как Shodan или Censys, для поиска уязвимых систем.
После получения первоначального доступа хакеры используют уязвимость для запуска локального TFTP-сервера и извлечения стартовой конфигурации устройства. Это позволяет им получить учётные данные и строки сообщества SNMP, которые затем используются для более глубокого проникновения в сеть. В некоторых случаях группа также применяет простые атаки перебора с использованием стандартных строк сообщества, таких как "anonymous" и "public".
Static Tundra демонстрирует высокий уровень изощренности, используя сложные методы сохранения присутствия. Среди них - применение импланта SYNful Knock, впервые обнаруженного в 2015 году. Этот вредоносный модуль, внедряемый в прошивку Cisco IOS, обеспечивает скрытый доступ к устройству, сохраняющийся даже после перезагрузки. Для активации импланта злоумышленники отправляют специально сформированный TCP SYN-пакет, известный как "волшебный пакет".
Ещё одной отличительной чертой группы является активное использование протокола SNMP и специализированных инструментов для эксфильтрации данных. Static Tundra использует функциональность CISCO-CONFIG-COPY-MIB для копирования конфигураций на контролируемые хакерами серверы через TFTP или протокол удалённого копирования. Кроме того, группа создаёт GRE-туннели для перенаправления и перехвата сетевого трафика, представляющего разведывательный интерес.
Особое внимание эксперты Cisco Talos уделяют изменениям в тактике целеполагания группы. С 2022 года активность Static Tundra против украинских организаций резко возросла и остаётся на высоком уровне. Группа атакует компании в различных секторах, демонстрируя более широкий и менее избирательный подход по сравнению с предыдущими годами.
Индикаторы компрометации
IPv4
- 185.141.24.222
- 185.141.24.28
- 185.82.200.181
- 185.82.202.34
