ה-FBI מזהיר: האקרים רוסים מנצלים באג ישן של סיסקו

שחקני איום הקשורים לשירות הביטחון הפדרלי של רוסיה, FSB, מנצלים פגיעות בת שבע שנים של סיסקו (Cisco) ותוקפים באמצעותה ארגונים במערב, כך התריע ה-FBI בסוף השבוע.

לפי חוקרי הבולשת הפדרלית, מדובר בפגם המסומן CVE-2018-0171. החוקרים זיהו את שחקני הסייבר של ה-FSB מנצלים פרוטוקול ניהול רשת פשוט (SNMP) והתקני רשת בסוף חייהם, אשר מריצים את הפגיעות, שלא תוקנה, ב-Cisco Smart Install כדי לתקוף ישויות ברחבי העולם ובארה"ב.

FBI warns Russian FSB cyber unit Berserk Bear is targeting U.S. critical infrastructure and global networks by exploiting old Cisco flaws. pic.twitter.com/0klnvbNJ9q

— AlexandruC4 (@AlexandruC4) August 20, 2025

פעילות שנמשכת שנים וקמפיינים עתידיים

הפעילות מיוחסת ל-'מרכז 16 של ה-FSB'. תעשיית אבטחת הסייבר עוקבת אחרי יחידה זו מזה שנים, והיא מכונה גם Berserk Bear ('דב נורדי מטורף') או Dragonfly ('שפירית').

משך יותר מעשור, אנשי היחידה תוקפים התקני רשת ברחבי העולם, במיוחד מכשירים המקבלים פרוטוקולים לא מוצפנים מדור קודם, כמו SMI ו-SNMP גרסאות 1 ו-2. חברי יחידת הביון הרוסית פרסו גם כליי תקיפה אשר מותאמים אישית למכשירי סיסקו.

"בשנה האחרונה", נמסר, "ה-FBI זיהה את השחקנים שאוספים קבצי תצורה עבור אלפי התקני רשת, המוטמעים בארגונים אמריקנים הפועלים במגזרי תשתית קריטיים. בחלק מהמכשירים הפגיעים, השחקנים שינו קבצי תצורה כדי לאפשר גישה לא מורשית למכשירים אלה". לפי הבולשת, "שחקני האיום השתמשו בגישה הבלתי מורשית כדי לבצע סיור ברשתות הקורבנות, מה שחשף את העניין שלהם בפרוטוקולים וביישומים הקשורים בדרך כלל למערכות בקרה תעשייתיות".

Cisco Talos’ latest blog exposes Static Tundra, a Russian state-sponsored group targeting unpatched Cisco devices for long-term espionage worldwide. Apply the patch now and protect your network: https://t.co/6lrkUMqgbs pic.twitter.com/OcSK2xnpEf

— Cisco Talos Intelligence Group (@TalosSecurity) August 20, 2025

החוקרים כתבו כי טונדרה סטטית (Static Tundra) היא קבוצת ריגול סייבר הפועלת בחסות רוסית, הקשורה ל'יחידת מרכז 16 של ה-FSB' הפועלת כבר יותר מעשור. היא מתמחה בפגיעה בהתקני רשת ופועלת לאיסוף מודיעין במבצעים ארוכי טווח. טונדרה סטטית נצפתה מכוונת בעיקר לארגונים במגזרי הטלקומוניקציה, ההשכלה הגבוהה והייצור. פעילותה משתנה לאורך זמן בהתאם לשינויים באינטרסים האסטרטגיים של רוסיה. הקורבנות משתרעים על פני אזורים גאוגרפיים רבים בגלובוס.

חוקרי סיסקו העריכו ב-"רמת ודאות בינונית" כי הקבוצה עשתה בעבר שימוש ב-SYNful Knock – שתל זדוני המותקן על מכשירי סיסקו שנפגעו, אירוע שפורסם ב-2015.

החוקרים סיימו בהערכה כי "הטונדרה הסטטית תמשיך בקמפיינים של חדירה לארגונים בעלי עניין אסטרטגי לרוסיה, במיוחד ייצור והשכלה גבוהה, ויעדים בעלי עניין פוליטי, דוגמת אוקראינה ובעלות בריתה… שחקני האיומים ימשיכו לתקוף מכשירים שנותרו ללא תיקון".