La Oficina Federal de Investigación ha emitido una alerta de seguridad crítica con respecto a las sofisticadas operaciones cibernéticas realizadas por el Centro 16 del Servicio de Seguridad Federal Rusia (FSB), dirigida a la infraestructura de redes en todo Estados Unidos y a nivel mundial.
Los actores de amenaza han estado explotando dispositivos de redes vulnerables para obtener acceso no autorizado a sistemas de infraestructura crítica, lo que demuestra un enfoque calculado para comprometer servicios esenciales.
La campaña aprovecha una vulnerabilidad sin parpadear, CVE-2018-0171, que se encuentra en las implementaciones del protocolo de Cisco Smart Install (SMI) junto con las debilidades simples del protocolo de gestión de redes (SNMP).
Estos vectores de ataque permiten a los actores de amenaza acceder de forma remota a los dispositivos de redes al final de la vida que carecen de parches de seguridad actuales, creando puntos de entrada persistentes en redes específicas.
Analistas del FBI identificado que los actores de amenaza han recopilado con éxito archivos de configuración de miles de dispositivos de red asociados con entidades estadounidenses en múltiples sectores de infraestructura crítica.
El alcance de esta operación revela un enfoque sistemático para mapear arquitecturas de red e identificar objetivos de alto valor dentro de los sistemas de control industrial.
La unidad FSB Center 16 opera bajo varios alias conocidos por los profesionales de seguridad cibernética, incluidos “Berserk Bear”, “Dragonfly” y más recientemente identificado como “Tundra estática” por los investigadores de Cisco Talos.
Este grupo de amenazas ha mantenido las operaciones durante más de una década, apuntando constantemente a dispositivos que aceptan protocolos heredados sin cifrar.
Manipulación de archivo de configuración y mecanismos de persistencia
La metodología de ataque se centra en técnicas sofisticadas de manipulación de archivos de configuración que permiten la persistencia a largo plazo dentro de las redes comprometidas.
Una vez que el acceso inicial se logra a través de la vulnerabilidad CVE-2018-0171, los actores de amenaza modifican sistemáticamente los archivos de configuración del dispositivo para establecer mecanismos de acceso a puerta trasera.
Estas modificaciones se elaboran cuidadosamente para combinar con configuraciones de red legítimas, lo que hace que la detección sea un desafío para las herramientas de monitoreo de seguridad estándar.
Los actores demuestran un interés particular en los protocolos y aplicaciones comúnmente asociados con los sistemas de control industrial, lo que sugiere la orientación estratégica de los entornos de tecnología operativa.
Al mantener el acceso a través de archivos de configuración modificados, el grupo de amenazas puede realizar operaciones de reconocimiento extendidas mientras permanece sin ser detectado dentro de las redes de víctimas.
Este método de acceso persistente permite a los atacantes monitorear los patrones de tráfico de la red, identificar dependencias críticas del sistema y posiblemente posicionarse para futuras operaciones disruptivas contra los servicios de infraestructura esenciales.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
