美国联邦调查局警告俄罗斯针对思科设备的网络间谍活动

美国联邦调查局 (FBI) 和思科 Talos 联合发出警告，称俄罗斯政府支持的黑客将再次针对易受攻击的思科网络设备发起攻击。

该网络间谍组织被追踪为“静态苔原”（Static Tundra），与俄罗斯联邦安全局（FSB）16号中心有关联，正在利用一个七年前的漏洞入侵全球关键基础设施网络。思科 Talos 团队高度确信，“静态苔原”是“狂熊”（Berserk Bear）组织的一个分支，至少自 2015 年起就一直活跃。其行动特点是隐秘、持久，并专注于保持不被发现的访问，以便进行长期情报收集。

美国联邦调查局 (FBI) 互联网犯罪投诉中心(IC3) 的公告称，此次攻击活动由 FSB 的 Center 16 小组发起，该小组在网络安全圈内又被称为“狂暴熊”或“活力熊”。思科 Talos 团队同时发布了一份技术分析报告，证实了此次攻击活动的存在，并重点指出了 CVE-2018-0171 漏洞的广泛利用。该漏洞存在于思科 IOS 软件的智能安装功能中，允许未经身份验证的远程访问，并在未打补丁或已停产 (EOL) 的设备上执行代码。

攻击者专门针对仍在运行智能安装和简单网络管理协议 (SNMP) 版本 1 和 2 的设备，这两个版本均未加密，以目前的标准来看并不安全。据两家机构称，此次攻击活动涉及收集启动配置文件、启用未经授权的访问、修改 SNMP 设置，以及在某些情况下部署 SYNful Knock 固件植入程序（该后门工具于 2015 年首次被发现）。

受感染的系统涵盖北美、欧洲、非洲和亚洲的电信运营商、高等教育机构和制造商。“静态苔原”似乎根据俄罗斯不断变化的战略利益来确定攻击目标的优先顺序，包括自俄乌冲突爆发以来对乌克兰网络的高度关注。

思科强调，受影响的系统通常运行过时的固件，且缺乏最新的安全补丁。其中许多设备已被指定为EOL（停产），不再接收安全更新。尽管思科在2018年发布了针对CVE-2018-0171的补丁，但许多组织尚未实施该补丁或淘汰易受攻击的设备。

观察到的攻击链始于利用智能安装协议启用本地 TFTP 服务器，并从中窃取配置文件。这些配置文件可能包含敏感数据，例如明文 SNMP 社区字符串或用户凭证。在某些情况下，攻击者只需使用默认或易于猜测的 SNMP 社区字符串（例如“public”或“anonymous”）即可获得访问权限。

一旦进入系统，攻击者就会使用 SNMP 修改设备配置，建立 GRE 隧道进行流量重定向，并通过安装本地用户账户或部署植入程序来建立持久访问。为了逃避检测，Static Tundra 会修改 TACACS+ 和访问控制配置，以隐藏未经授权的活动并维持长期访问。

各组织应在所有启用智能安装的思科设备上修补 CVE-2018-0171 漏洞，并在无法更新的设备上禁用该功能（无需 vstack）。使用思科和 Mandiant 的工具扫描 SYNful Knock 植入程序也至关重要。为了降低风险，请将 SNMPv1/v2、Telnet 和 HTTP 等不安全的协议替换为 SNMPv3、SSH 和 HTTPS。确保 SNMP 使用强大且唯一的社区字符串，并在非必要情况下禁用写访问权限。

我们敦促怀疑受到威胁的组织检查设备配置、监控威胁指标 (IOC)，并向当地 FBI 外地办事处或通过 IC3.gov 报告事件。