Hackers asociados al Centro 16 del Servicio Federal de Seguridad de Rusia (FSB) han explotado durante el último año una vulnerabilidad en el software IOS de la compañía tecnológica estadounidense Cisco para infiltrar y atacar miles de dispositivos de red vinculados a sistemas informáticos de infraestructura crítica en varios sectores e industrias, según anunció este miércoles el Buró Federal de Investigaciones de EEUU (FBI) y la empresa Cisco.
Según un aviso publicado en el blog de la compañía y firmado por los investigadores de Cisco Sara McBroom y Brandon White, los atacantes han estado recopilando “información de configuración de dispositivos en masa, que más tarde puede ser aprovechada según sea necesario en función de los objetivos e intereses estratégicos del Gobierno ruso”. Esta campaña se dirigió especialmente a dispositivos que siguen sin parches y han quedado fuera del ciclo de soporte del fabricante, explotando una vulnerabilidad de siete años de antigüedad en el sistema operativo IOS de Cisco.
El FBI detalló en una advertencia separada que en los últimos doce meses detectó la extracción de archivos de configuración “para miles de dispositivos de red asociados con entidades estadounidenses en todos los sectores de infraestructura crítica”. Entre los sectores afectados se incluyen telecomunicaciones, educación superior y manufactura en regiones como América del Norte, Asia, África y Europa. Los investigadores enfatizaron que “las víctimas han sido seleccionadas en función de su interés estratégico para el gobierno ruso”.
En algunos casos, los archivos de configuración que sustrajeron los hackers fueron alterados con el objetivo de asegurar el acceso a largo plazo en los dispositivos comprometidos. Ese acceso permitió a los atacantes operar tareas de reconocimiento dentro de redes seleccionadas, prestando especial atención a los sistemas de control industrial, una parte esencial de la infraestructura crítica para sectores como energía y manufactura.
Cisco Talos, la unidad de inteligencia de amenazas de Cisco, indicó que esta campaña fue atribuida a un grupo operativo dentro del Centro 16 del FSB que lleva al menos una década desarrollando actividades similares. Los investigadores recordaron que en marzo de 2022 el Departamento de Justicia de Estados Unidos acusó a cuatro ciudadanos rusos de ese grupo por atacar ilegalmente el sector energético global entre 2012 y 2018. La embajada rusa en Washington no respondió a las solicitudes de comentarios, y Moscú ha negado reiteradamente conducir operaciones de ciberespionaje.
La persistencia de la vulnerabilidad utilizada, que permanece sin parchear en dispositivos antiguos fuera del soporte oficial, pone en evidencia el riesgo global asociado a los equipos e infraestructuras tecnológicas desactualizadas. Según Cisco Talos, otros grupos de hackers respaldados por Estados también estarían realizando operaciones similares para explotar la misma vulnerabilidad en dispositivos de red.
Esta campaña refuerza las preocupaciones internacionales sobre la amenaza que representan los ataques cibernéticos patrocinados por Estados contra infraestructuras esenciales. Los expertos de Cisco instaron a las organizaciones, especialmente aquellas en sectores estratégicos, a revisar el estado de sus equipos, aplicar actualizaciones cuando estén disponibles y considerar la renovación de dispositivos al final de su vida útil para reducir el riesgo de futuras intrusiones.
(Con información de Reuters)