Рекомендацію «Покращуйте безпеку маршрутизаторів, щоб захиститися від цілеспрямованих атак, що фінансуються російською державою» опублікували АНБ, ФБР та CISA разом з агентствами Австралії, Великої Британії, Канади, Нової Зеландії, Естонії, Фінляндії, Франції та Італії, пише МА АСС з посиланням на mezha.ua.
Угруповання, що стоїть за атаками, у кібербезпековій індустрії відоме під назвами Berserk Bear, Energetic Bear, Dragonfly, Crouching Yeti, Ghost Blizzard і Static Tundra, а його активність простежується вже понад десятиліття.
Схема атак досить проста і не потребує складних вразливостей нульового дня. Хакери сканують діапазони IP-адрес у пошуках роутерів з активними агентами протоколу SNMP, які приймають стандартні або поширені облікові дані. Отримавши доступ, зловмисники копіюють конфігураційні файли пристроїв і вивантажують їх через протокол TFTP на власні сервери, збираючи облікові дані для подальшого проникнення. Окрім SNMP, група експлуатує давно відомі вразливості в обладнанні Cisco, зокрема у функції Smart Install.
Наші новини є у Facebook
Скомпрометовані роутери хакери використовують і як проксі-вузли: пропускаючи шкідливий трафік через "благонадійний" пристрій з довіреною IP-адресою, вони знижують шанси бути заблокованими фаєрволами та іншими засобами захисту. Тобто навіть домашній або офісний роутер пересічного користувача може стати інструментом атаки на чужу критичну інфраструктуру.
Серед головних цілей угруповання — сектори зв'язку, оборонної промисловості, енергетики, фінансових послуг, урядових установ та охорони здоров'я. Окремо агентства відзначають, що улюбленою мішенню росіян є мережі місцевих органів влади США.
Рекомендації захисту здебільшого зводяться до базової мережевої гігієни: перейти на SNMPv3 і вимкнути застарілі SNMPv1/v2, встановити надійні унікальні паролі, деактивувати Cisco Smart Install, заблокувати TFTP і SNMP на периметрі мережі там, де вони не потрібні, оновити прошивки та замінити застаріле обладнання, яке більше не отримує оновлень.
Попередження вийшло після нещодавньої міжнародної операції проти FrostArmada — окремої кампанії російської військової розвідки (APT28), яка станом на грудень 2025 року інфікувала 18 тисяч роутерів MikroTik і TP-Link у 120 країнах, підмінюючи DNS-налаштування для крадіжки логінів Microsoft 365. Тоді ФБР за рішенням суду дистанційно виправило шкідливі налаштування на заражених пристроях.
Якщо ви помітили помилку на цій сторінці, виділіть її і натисніть Ctrl + Enter
Дякую, я вже з вами
