Français Dans les récents développements soulignant la nature sophistiquée du cyberespionnage, le Federal Bureau of Investigation (FBI) a émis des avertissements concernant une cybermenace impliquant des acteurs liés au Service fédéral de sécurité russe (FSB), plus précisément son Centre 16. Cette campagne de cyberespionnage a exploité les vulnérabilités des équipements réseau Cisco, ciblant des infrastructures critiques dans divers secteurs, tant aux États-Unis qu'à l'international.

Au cœur de cette campagne se trouve l'exploitation d'une ancienne vulnérabilité du logiciel Smart Install (SMI) de Cisco, une faille identifiée sous la référence CVE-2018-0171. Malgré les correctifs appliqués dès sa divulgation, de nombreux appareils restent vulnérables, faute de correctifs ou en fin de vie. Ces appareils sont ciblés par les acteurs du FSB pour obtenir des accès non autorisés, collecter des fichiers de configuration et mener des opérations de reconnaissance.

Le FSB Center 16, connu dans le milieu de la cybersécurité sous plusieurs pseudonymes, dont « Berserk Bear » et « Dragonfly », est actif depuis plus de dix ans. Ses tactiques incluent traditionnellement l'exploitation de protocoles réseau traditionnels tels que SNMP et SMI. Ce groupe est particulièrement connu pour déployer des logiciels malveillants sur mesure sur les équipements réseau afin de faciliter les opérations de renseignement à long terme. L'un de ces logiciels malveillants, « SYNful Knock », publiquement identifié en 2015, illustre les méthodes sophistiquées utilisées pour infiltrer et maintenir la persistance des réseaux ciblés.

Des analyses récentes menées par des chercheurs en cybersécurité, notamment chez Cisco Talos, ont établi un lien entre un groupe d'État russe, Static Tundra, et le Centre 16 du FSB. Ce groupe cible particulièrement des secteurs comme les télécommunications, l'enseignement supérieur et l'industrie manufacturière. Static Tundra se caractérise non seulement par sa capacité à exploiter des périphériques réseau non corrigés, mais aussi par ses adaptations stratégiques en fonction de l'évolution des intérêts géopolitiques russes.

Les opérations de Static Tundra consistent souvent à modifier la configuration des appareils afin d'établir des portes dérobées et de collecter des informations sensibles. Les méthodes employées par le groupe pour maintenir l'accès sont diverses, impliquant souvent l'usurpation des chaînes de communauté SNMP, l'obscurcissement de l'activité réseau et la modification des listes de contrôle d'accès pour faciliter l'espionnage à long terme.

Les opérations du groupe ont fait preuve de stratégies de ciblage adaptatives, notamment par une intensification des actions contre les entités ukrainiennes depuis le début du conflit avec la Russie. De plus, l'utilisation d'outils sophistiqués et l'adaptation stratégique témoignent d'une compréhension approfondie des dynamiques réseau et géopolitiques.

Il est fortement recommandé aux organisations de mettre en œuvre des mesures de cybersécurité rigoureuses pour atténuer ces menaces. Ces mesures incluent l'installation rapide de correctifs sur les appareils, l'abandon progressif des équipements en fin de vie, l'utilisation de l'authentification multifacteur et la mise à jour des listes de contrôle d'accès. Une surveillance rigoureuse des comportements et des configurations du réseau est essentielle pour détecter et contrer les intrusions potentielles. La persévérance et la capacité démontrées par des groupes comme Static Tundra soulignent l'importance du risque pour la cybersécurité mondiale, qui nécessite des stratégies de défense robustes et une coopération internationale pour protéger les infrastructures critiques.