FBI i CISA ostrzegają. Hakerzy z grupy Static Tundra wykorzystują luki w routerach Cisco do ataków na infrastrukturę krytyczną

Cyberataki sponsorowane przez państwa są jednym z poważniejszych zagrożeń dla globalnego bezpieczeństwa. Grupy hakerskie powiązane z rządami dysponują ogromnymi zasobami, które pozwalają im na prowadzenie długofalowych i zaawansowanych operacji. Ich celem często staje się infrastruktura krytyczna, od której zależy działanie całych państw. Najnowsze ostrzeżenia amerykańskich agencji rzucają nowe światło na skalę i metody działania jednej z takich grup.

Amerykańskie agencje federalne ostrzegają, że powiązana z rosyjskim FSB grupa hakerska od lat wykorzystuje luki w popularnych urządzeniach sieciowych do infiltracji globalnej infrastruktury krytycznej.

Cisco Talos ujawnia krytyczne luki w firmware laptopów Dell Latitude i Precision umożliwiających instalację trwałego malware

Federalne Biuro Śledcze (FBI) wraz z Agencją ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) wydały wspólne ostrzeżenie dotyczące długofalowej kampanii hakerskiej. Jest ona prowadzona przez grupę powiązaną z rosyjską Federalną Służbą Bezpieczeństwa (FSB). Grupa, znana pod nazwami Static Tundra, Energetic Bear, Berserk Bear czy Dragonfly, specjalizuje się w atakach na globalną infrastrukturę krytyczną. Jej celem padają między innymi sektory energetyki, lotnictwa, jak również obiekty rządowe. Atakujący wykorzystują głównie stare, ale wciąż obecne w wielu sieciach luki w zabezpieczeniach urządzeń sieciowych, takich jak routery firmy Cisco. Firma wydała już stosowne ostrzeżenia i łatki. 

Ironia cyberbezpieczeństwa. Hakerzy ShinyHunters zhackowali Google po tym, gdy firma ostrzegała innych przed ich atakami

Działania grupy Static Tundra nie są nowe, a według amerykańskiego Departamentu Sprawiedliwości (DOJ) sięgają co najmniej 2012 roku. W ramach walki z tym zagrożeniem DOJ odtajnił akty oskarżenia przeciwko czterem obywatelom Rosji, pracownikom rządowym, którzy mieli brać udział w tych operacjach. Celem hakerów było uzyskanie trwałego dostępu nie tylko do biurowych sieci IT, ale przede wszystkim do sieci technologii operacyjnej (OT). Kontrola nad systemami OT mogłaby w przyszłości posłużyć do przeprowadzenia fizycznie destrukcyjnych ataków. W przeszłości grupa ta była wiązana z wykorzystaniem złośliwego oprogramowania TRISIS (Triton), projektowanego do manipulowania przemysłowymi systemami bezpieczeństwa.

CrowdStrike ujawnia skalę wykorzystania AI przez grupę Famous Chollima do finansowania programów zbrojeniowych KRLD

Wnioski płynące z analizy działań rosyjskiej grupy są jednoznaczne. Sponsorowane przez państwa cyberataki stanowią uporczywe i długoterminowe zagrożenie. Głównym wektorem ataku pozostają niezaktualizowane i wystawione na dostęp z internetu urządzenia sieciowe, co podkreśla konieczność dbania o higienę cyfrową w najważniejszych sektorach gospodarki. Publiczne oskarżenia wysuwane przez amerykański rząd są elementem szerszej strategii odstraszania i pokazują, że nawet operacje prowadzone przez lata mogą zostać ostatecznie zdemaskowane i przypisane konkretnym osobom.