Los piratas informáticos rusos penetran en el antiguo sistema de fallo de falla

El FBI emitió una advertencia de advertencia de los piratas informáticos rusos que han estado infiltrando miles de dispositivos de red asociados con sistemas de TI de infraestructura crítica. La pandilla ha estado explotando vulnerabilidades en sus ataques del software Cisco más antiguo.

Cisco Talos, un grupo de inteligencia de amenazas, dijo que atacó al grupo en las industrias de telecomunicaciones, educación superior y manufactura en América del Norte, Asia, África y Europa. En lugar de exigir que se lance el ransomware, los piratas informáticos eligen a Rusia en función de sus “intereses estratégicos”.

Según el blog de Cisco Talos, el equipo de piratas informáticos es estática Tundra, un grupo cibernético patrocinado por el estado ruso que apoya un grupo que tiene un significado estratégico para el gobierno en la campaña de invasión a largo plazo de Rusia. Su objetivo era extraer “información de configuración del equipo” que luego podría utilizarse según sea necesario en función de los objetivos estratégicos del tiempo y los intereses del gobierno ruso. “

“Los ataques rusos no son nada nuevo, pero en tiempos de agitación geopolítica, la infraestructura crítica tiene un riesgo más alto, especialmente de rivales como Rusia, Irán y China”, dijo Tracy Goldberg, directora de seguridad cibernética en la estrategia e investigación de jabalinas. “Como parte de un esfuerzo para poner fin a la guerra ucraniana, las últimas negociaciones entre Rusia y Estados Unidos pueden estar inclinadas en cualquier dirección, lo que significa que las industrias críticas de infraestructura, como los sectores industrial y financiero, deberían exacerbar la alarma”.

Misión a largo plazo

La investigación sobre los piratas informáticos muestra el plan a largo plazo. La tundra estática ha existido durante más de una década y ha podido mantener sus objetivos sin descubrimiento durante muchos años.

En un ataque recientemente descubierto, el hacker modificará el archivo de configuración para habilitar el acceso no autorizado a estos dispositivos y luego utilizará ese acceso al reconocimiento en la red de la víctima. Parecen estar particularmente interesados ​​en protocolos y aplicaciones relacionadas con los sistemas de control industrial.

Aprovechar las viejas vulnerabilidades

Para obtener este acceso, el hacker explotó una vulnerabilidad de siete años en el software Cisco IOS. Aunque la vulnerabilidad se detectó y resolvió hace varios años, el grupo roba datos de configuración y establece un acceso persistente para dispositivos de red que no están alternativos y al final de la vida.

“La mayoría de las vulnerabilidades explotadas por los adversarios cibernéticos se pueden mitigar fácilmente adoptando e implementando políticas de confianza cero y pruebas y parches de vulnerabilidades cibernéticos y de software convencionales”, dijo Goldberg. “Las instituciones financieras en particular deben volver a visitar y probar sus guiones del plan de recuperación de desastres utilizando el tercer y cuarto trimestre de 2025 para garantizar que las respuestas a las crisis cibernéticas se resuelvan adecuadamente”.