Static Tundra’nın Siber Saldırıları ve Etkileri
Son yıllarda, siber güvenlik alanında meydana gelen gelişmeler, devlet destekli grupların faaliyetlerini giderek daha fazla gündeme getiriyor. Bu bağlamda, Rusya merkezli bir siber casusluk grubu olan Static Tundra, özellikle Cisco IOS ve Cisco IOS XE yazılımında bulunan yedi yıllık bir güvenlik açığını aktif şekilde kullanarak hedef ağlara kalıcı bir erişim sağlamaya çalışmaktadır. Bu durum, sadece teknik bir sorun olmaktan öteye geçerek jeopolitik çekişmelerin bir parçası haline gelmiştir.
Güvenlik Açığı ve Hedeflenen Sektörler
Static Tundra’nın hedeflemesi, çoğunlukla telekomünikasyon, yüksek öğrenim ve üretim sektörlerine odaklanmıştır. Saldırılar, Kuzey Amerika, Asya, Afrika ve Avrupa’daki belirli kuruluşlara yönlendirilmiştir. Cisco Talos’un açıklamasına göre, bu saldırılar Rusya’nın “stratejik çıkarlarına” göre belirlenen kurbanlarımız üzerinde yoğunlaşmaktadır. Özellikle, 2022’de başlayan Rusya-Ukrayna savaşından sonra Ukrayna ve müttefiklerine yönelik yoğun çabalar gözlemlenmiştir.
CVE-2018-0171 koduyla bilinen bu güvenlik açığı, Cisco IOS Software ve Cisco IOS XE Software‘in Smart Install özelliğinde yer alan kritik bir hatadır. Bu açık, kimlik doğrulamadan muaf bir uzaktan saldırganın, hizmet kesintisine (DoS) neden olmasına ya da rastgele kod çalıştırmasına olanak tanımaktadır. Güvenlik açığının daha önce Çin ile bağlantılı olan Salt Typhoon grubu tarafından da istismar edildiği düşünülmektedir.
Static Tundra’nın Operasyonel Yapısı
Cisco Talos, Static Tundra’nın Federal Güvenlik Servisi’nin (FSB) 16. merkezine bağlı olduğunu ve on yıldan fazladır operasyonel faaliyetlerde bulunduğunu belirtmiştir. Bu grup, uzun vadeli istihbarat toplama operasyonlarına odaklanmaktadır. Static Tundra’nın, fark edilmemek için çeşitli teknikler kullandığı ve aynı zamanda diğer siber suç gruplarıyla bağlantılı olduğu düşünülmektedir. Berserk Bear, Crouching Yeti, Dragonfly, Energetic Bear ve Havex gibi gruplarla ilişkili olduğu tahmin edilmektedir.
U.S. Federal Bureau of Investigation (FBI) tarafından yapılan bir uyarıda, FSB’nin siber aktörlerinin, Amerika Birleşik Devletleri ve dünya çapında geniş bir tehdit yelpazesine yönelik olarak hedef alındığı kaydedilmiştir. Bu süreçte, siber saldırganların, çeşitli kritik altyapı sektörlerinde binlerce ağ cihazının konfigürasyon dosyalarını topladığı tespit edilmiştir.
Saldırı Teknikleri ve Kullanılan Araçlar
Saldırılar, siber suçluların hedef ağlarda güvenlik açığı oluşturmaları amacıyla cihazların konfigürasyon dosyalarını değiştirme süreçleriyle ilerlemektedir. İlk aşamada, SYNful Knock olarak adlandırılan bir yönlendirici implantı kullanarak hedef ağlarda kalıcılık sağlanmaktadır. Bu implant, yönlendiricinin firmware görüntüsünde gizli değişiklikler yaparak, hedefin ağında kalıcı bir varlık oluşturulmasını sağlamaktadır.
Saldırganlar ayrıca, SNMP kullanarak talimatlar göndermekte ve kötü amaçlı dosyaları ağ cihazlarına eklemektedir. Bu durum, ağ cihazlarına ilave erişim yolları sunmakta ve savunma mekanizmalarını aşmak adına TACACS+ konfigürasyonlarını değiştirmektedir. Araştırmacılar, Static Tundra’nın, Shodan veya Censys gibi kamuya açık tarama verilerini kullanarak ilgi alanındaki sistemleri tanımladığını belirtmektedir.
Veri Toplama ve Hedeflere Odaklanma
Static Tundra’nın ana hedeflerinden biri, istihbarat açısından değerli olan ağ trafiğini yakalamaktır. Bu, saldırganların, Generic Routing Encapsulation (GRE) tünelleri kurarak ilgi alanındaki trafiği kendi kontrolündeki altyapıya yönlendirmeleri ile gerçekleştirilir. Ayrıca, arka planda NetFlow verisinin toplanması ve çıkartılması da yapılmaktadır. Toplanan veri, genellikle TFTP veya FTP bağlantıları aracılığıyla dışarıya aktarılmaktadır.
Saldırganların hedefi, genellikle yamalanmamış veya ömrü dolmuş ağ cihazlarıdır. İlk erişimi sağladıktan sonra, siber saldırganlar daha derinlere inerek ek ağ cihazlarına sızmaktadır. Bu, uzun vadeli erişim ve bilgi toplama imkanı sunmaktadır.
Aksiyon Adımları ve Öneriler
Static Tundra’nın tehdidi azaltmak adına Cisco, kullanıcılarını CVE-2018-0171 açıklarına yönelik yamaları uygulamaya veya yamalama imkânı yoksa Smart Install özelliğini devre dışı bırakmaya teşvik etmektedir. Bu saldırı kampanyası, cihaz konfigürasyon bilgilerini toplamak ve daha sonra Rus hükümetinin stratejik hedeflerine göre bu bilgileri kullanmak üzerine odaklanmaktadır. Static Tundra’nın operasyonel önceliklerinin değişimi, Rusya’nın jeopolitik hedefleriyle yakından ilişkilidir.
