O FBI e a Cisco Talos, unidade de inteligência em ameaças da Cisco, emitiram um alerta conjunto sobre uma campanha cibernética sofisticada conduzida pelo grupo hacker russo conhecido como Static Tundra. A ameaça envolve a exploração de uma falha de segurança crítica (CVE-2018-0171), descoberta há sete anos, presente em dispositivos com Cisco IOS e IOS XE, ainda não corrigidos em muitas redes.
Segundo os relatórios, a operação tem como alvo infraestruturas estratégicas em setores como telecomunicações, manufatura e ensino superior, afetando organizações em diversas regiões, incluindo América do Norte, Europa, Ásia e África. O grupo tem focado especialmente na Ucrânia e seus aliados desde o início da guerra em 2022.
Falha crítica permite invasão remota e persistência
A vulnerabilidade em questão — CVE-2018-0171 — é uma falha na função Smart Install do software Cisco, com pontuação 9.8 (crítica) na escala CVSS. Ela permite que um invasor remoto e não autenticado execute código arbitrário ou cause negação de serviço (DoS).
Essa mesma falha já foi explorada por outro grupo, o Salt Typhoon (Operator Panda), alinhado ao governo chinês, em ataques recentes contra provedores de telecomunicações nos Estados Unidos no final de 2024.
Grupo ligado ao FSB russo e com histórico de operações de inteligência
A Cisco Talos associa o Static Tundra ao Centro 16 do FSB (Serviço Federal de Segurança da Rússia). O grupo opera há mais de uma década como parte do coletivo Berserk Bear (também conhecido como Dragonfly ou Crouching Yeti) e é especializado em espionagem cibernética de longo prazo.
Durante os ataques, os hackers obtêm acesso a dispositivos de rede vulneráveis, extraem arquivos de configuração, modificam parâmetros críticos e implantam ferramentas como o SYNful Knock — um implante malicioso que substitui o firmware dos roteadores, oferecendo acesso persistente e modular.
Técnicas avançadas para evitar detecção
Os invasores utilizam o protocolo SNMP para baixar arquivos de texto remotamente e alterar configurações dos dispositivos. Eles também modificam parâmetros como o TACACS+, comprometendo os registros de acesso remoto e dificultando a detecção.
Segundo os pesquisadores Sara McBroom e Brandon White, o Static Tundra utiliza ferramentas como Shodan e Censys para mapear e identificar dispositivos vulneráveis expostos na internet.
Objetivo: redirecionar e espionar tráfego de rede
Uma vez dentro da rede, o grupo configura túneis GRE (Generic Routing Encapsulation) para capturar e redirecionar tráfego sensível para sua própria infraestrutura. Também são coletados dados de monitoramento de rede, como NetFlow, o que permite uma visão detalhada das comunicações e padrões de uso das vítimas.
Essas ações são parte de uma estratégia de acesso contínuo e extração de dados de interesse estratégico para o governo russo, com foco em redes desatualizadas e dispositivos sem patch — especialmente os que já estão no fim de sua vida útil.
Recomendações de segurança
A Cisco recomenda fortemente:
-
Aplicar imediatamente o patch da falha CVE-2018-0171.
-
Caso não seja possível atualizar, desativar a função Smart Install.
Essas medidas são cruciais para impedir que hackers explorem brechas antigas para manter acesso não autorizado às redes.
Conclusão: Ameaça persistente exige vigilância contínua
A campanha do Static Tundra reforça a importância da gestão proativa de vulnerabilidades, especialmente em equipamentos de rede críticos. Falhas conhecidas, mesmo antigas, continuam sendo porta de entrada para espionagem e ataques cibernéticos de Estado.
Organizações públicas e privadas devem revisar imediatamente suas configurações de rede, aplicar os patches de segurança disponíveis e monitorar sinais de comprometimento, garantindo que essas falhas não se tornem brechas permanentes em sua infraestrutura digital.
