Cyberspionage

Russische Hackergruppe nutzt alte Cisco-Sicherheitslücke

Cisco
Bildquelle: T. Schneider / Shutterstock.com
LinkedInRedditWhatsAppPocket

Eine russische Cyberspionage-Einheit mit dem Namen Static Tundra greift seit Jahren gezielt Netzwerke an – und das mithilfe einer längst bekannten Sicherheitslücke in Cisco-Software.

Das geht aus aktuellen Informationen des Sicherheitsforschungsbereichs Cisco Talos sowie einer Mitteilung des FBI hervor.

Anzeige

Die Gruppe soll laut Cisco Talos ihre Opfer sorgfältig auswählen. Im Fokus stehen Staaten und Organisationen, die für Russland von strategischem Interesse sind. In jüngster Zeit haben die Angriffe vor allem die Ukraine und deren internationale Partner getroffen.

Schwachstelle seit 2018 bekannt

Die genutzte Schwachstelle trägt die Kennung CVE-2018-0171. Sie betrifft die Smart-Install-Funktion von Cisco IOS- und IOS-XE-Systemen. Angreifer können darüber ohne Anmeldung Schadcode einschleusen oder Geräte durch gezielte Überlastung unbrauchbar machen. Zwar existieren seit Jahren Updates, dennoch rät Cisco zusätzlich, die Smart-Install-Funktion ganz abzuschalten, falls ein Patch nicht möglich ist.

Nach Erkenntnissen der Forscher dient die Kampagne in erster Linie dazu, Konfigurationsdaten von Netzwerkgeräten in großem Umfang zu sammeln. Diese Informationen können später für weitere Operationen genutzt werden – abhängig von den jeweiligen politischen oder militärischen Zielen Russlands.
Sobald Static Tundra Zugriff auf ein Gerät erhält, bewegt sich die Gruppe tiefer im Netzwerk, infiziert weitere Systeme und schafft sich langfristige Zugangswege.

Anzeige

Besonders im Visier stehen Organisationen in den USA. Dort wurden Konfigurationsdateien tausender Geräte aus sensiblen Bereichen der Infrastruktur ausgeleitet.

Verbindungen zu anderen Gruppen

Cisco Talos ordnet Static Tundra einem größeren Kollektiv zu, das unter dem Namen Energetic Bear bekannt ist. Diese Gruppierung wird mit der Einheit „Center 16“ des russischen Inlandsgeheimdienstes FSB in Verbindung gebracht. Schon 2022 erhob das US-Justizministerium entsprechende Vorwürfe in einer Anklageschrift.

Das FBI bestätigte, dass russische Hacker weiterhin ungepatchte oder veraltete Cisco-Geräte missbrauchen. Teilweise manipulierten sie Konfigurationsdateien, um sich dauerhaft Zugang zu verschaffen. Bei ihren Aktivitäten zeigten sie besonderes Interesse an Technologien, die für industrielle Steuerungssysteme relevant sind – ein Hinweis auf mögliche Angriffe gegen kritische Infrastruktur.


Pauline Dornig

Pauline

Dornig

Online-Redakteurin

IT Verlag GmbH

Pauline Dornig verstärkt seit Mai 2020 das Team des IT Verlags als Online-Redakteurin. (pd)
Anzeige

Artikel zu diesem Thema

Voice Phishing: Cisco meldet Datenabfluss aus CRM-System

Weitere Artikel

Leben ohne Handy – geht das noch?
Altersvorsorge: Zwei Drittel wollen digitalen Durchblick
KI-Boom, Chip-Turbulenzen und Apple-Krise: Tech-Giganten kämpfen um die Zukunft
Selektives KI-Training verhindert Missbrauch
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.