ФБР предупреждает: российские хакеры атаковали тысячи IT-систем критически важной инфраструктуры США.

Российские хакеры, предположительно связанные с Центром 16 Федеральной Службы Безопасности (ФСБ), в течение последнего года атаковали тысячи сетевых устройств, относящихся к критически важным инфраструктурам США. Об этом предупредило Федеральное Бюро Расследований (ФБР) в своем публичном обращении. По данным агентства, злоумышленники используют уязвимость в определенных устройствах компании Cisco.

В некоторых случаях хакерам удавалось изменять конфигурационные файлы для получения несанкционированного доступа, который они использовали для проведения разведки в сетях. Это продемонстрировало их интерес к протоколам и приложениям, обычно используемым в промышленных системах управления, отметили в ФБР.

Подразделение по исследованию угроз компании Cisco, Talos, объяснило в отдельном предупреждении, что подгруппа этих злоумышленников, получившая название "Static Tundra", нацелена на семилетнюю уязвимость в функции Smart Install компании. Фирма предоставила исправление для этой уязвимости, однако она остается проблемой в неустановленных и снятых с поддержки сетевых устройствах.

“Получив первоначальный доступ к сетевому устройству, Static Tundra продолжает проникать в целевую среду, компрометируя дополнительные сетевые устройства и создавая каналы для долгосрочного сохранения присутствия и сбора информации”, – предупреждают авторы блога Talos. “Это демонстрируется способностью группы поддерживать доступ в целевых средах в течение нескольких лет, оставаясь незамеченной”.

Представитель Cisco заявил в электронном письме изданию The Register, что компания осведомлена о продолжающемся использовании этой уязвимости.

“Мы настоятельно призываем клиентов немедленно обновить программное обеспечение до исправленных версий, как указано в консультации по безопасности, и следовать нашим опубликованным рекомендациям по обеспечению безопасности”, – сказал представитель, направив клиентов к объявлению ФБР и блогу Cisco Talos для получения дополнительной информации.

Текущая кампания нацелена на организации телекоммуникационной отрасли, высшего образования и производства в Северной Америке, Азии, Африке и Европе. “Выбор жертв основан на их стратегической важности для российского правительства”, – утверждают исследователи Sara McBroom и Brandon White из Talos. “Мы оцениваем, что цель этой кампании – массовый компромесс и извлечение информации о конфигурации устройств, которая впоследствии может быть использована по мере необходимости, исходя из текущих стратегических целей и интересов российского правительства”, – написали McBroom и White.

При этом, как предупреждает команда Talos, доступ к этим устройствам также желают получить многие другие государственные хакерские группы. “Организации должны знать, что другие продвинутые устойчивые угрозы (APTs), вероятно, также уделяют приоритетное внимание проведению аналогичных операций”.

Согласно информации, предоставленной Cisco в своем предупреждении, уязвимость затрагивает только клиентские коммутаторы Smart Install. Список затронутых устройств представлен в Таблице A-1. Для успешной атаки злоумышленники используют уязвимость, отслеживаемую как CVE-2018-0171, которая была устранена еще в 2018 году.