CISA предупредила: хакеры ФСБ массово взламывают домашние роутеры через SNMP

CISA предупредила: хакеры ФСБ массово взламывают домашние роутеры через SNMP

Федеральное правительство США предупредило владельцев домашних и офисных роутеров о необходимости срочно защитить свои устройства: российские государственные хакеры продолжают массово компрометировать такие роутеры, чтобы скрывать за ними враждебные действия против важных организаций в госсекторе и частном бизнесе.

В совместном предупреждении, выпущенном в понедельник, Агентство по кибербезопасности и защите инфраструктуры США (CISA) сообщило, что киберподразделение «Центр 16» Федеральной службы безопасности России (ФСБ) продолжает эксплуатировать плохо настроенные и уязвимые сетевые устройства по всему миру, попутно компрометируя сети множества организаций из критически важных секторов. Эти хакерские группы отслеживаются под разными названиями: Berserk Bear, Energetic Bear, Crouching Yeti, Dragonfly, Ghost Blizzard и Static Tundra. Предупреждение выпущено совместно с правительствами Австралии, Дании, Новой Зеландии и Великобритании.

Основной способ взлома, сканирование диапазонов IP-адресов в поисках роутеров с включённым протоколом SNMP (Simple Network Management Protocol), который принимает стандартные или заводские учётные данные. Само сканирование ведут те же роутерные ботнеты, в которые хакеры затем вербуют новые устройства. Рассылая вредоносный трафик с подменённых (спуфинговых) адресов, злоумышленники используют SNMP-агент на плохо настроенном роутере, чтобы запустить на нём вредоносный код. SNMP позволяет собирать и изменять информацию об управляемых сетевых устройствах, в том числе менять их поведение.

Захваченные роутеры хакеры используют как прокси-сети, промежуточное звено, которое маскирует источник атак на чувствительные организации. Проблема не нова: правительства России и Китая годами компрометируют роутеры, порой ведя затяжную борьбу за контроль над устройствами, уже захваченными другой стороной. Американские власти периодически рассылали скрытые команды и предпринимали другие шаги для «дезинфекции» роутеров, а Google и другие компании работали над разрушением масштабных ботнетов, синхронно управляющих скомпрометированными устройствами. Однако все эти меры пока остаются лишь бесконечной игрой в догонялки: как только один ботнет разрушают, операторы просто собирают новый.

Ключевые факты

  • CISA совместно с властями Австралии, Дании, Новой Зеландии и Великобритании выпустила предупреждение о взломе роутеров хакерами ФСБ
  • Ответственное подразделение, «Центр 16» ФСБ; группы известны под именами Berserk Bear, Energetic Bear, Crouching Yeti, Dragonfly, Ghost Blizzard, Static Tundra
  • Главный метод, сканирование роутеров с открытым SNMP и стандартными паролями, заражение через спуфинг-трафик
  • Цель, построение прокси-сетей из захваченных роутеров для маскировки атак на организации критической инфраструктуры в госсекторе и бизнесе
  • Проблема хроническая: Россия и Китай годами захватывают роутеры, а попытки США и компаний вроде Google разрушить ботнеты не решают её, операторы просто строят ботнеты заново

Почему это важно

Совместное предупреждение сразу пяти правительств, редкий и весомый сигнал: связанные с ФСБ хакеры не просто атакуют отдельные цели, а системно превращают массу обычных домашних и офисных роутеров в скрытую инфраструктуру для атак на критически важные организации. Это показывает масштаб проблемы, речь не о единичном взломе, а о продолжающейся годами кампании.

Кому это важно

Прежде всего, владельцам домашних и небольших офисных роутеров, чьи устройства могут быть уже захвачены и использоваться втёмную. Также предупреждение адресовано ИТ-службам организаций критической инфраструктуры (энергетика, госсектор и другие чувствительные отрасли), интернет-провайдерам и производителям сетевого оборудования.

Как это применить

CISA и партнёры указывают конкретную уязвимость, включённый протокол SNMP со стандартными или слабыми учётными данными. Практический вывод: отключить SNMP там, где он не нужен, сменить заводские пароли на уникальные, обновить прошивку роутера и ограничить доступ к управлению устройством только доверенными адресами.

Можно ли доверять

Материал Ars Technica опирается на официальное совместное предупреждение CISA и правительств пяти стран, а также ссылается на многолетнюю историю аналогичных кампаний и на действия Google по разрушению ботнетов, это подтверждённый и хорошо задокументированный тип угрозы, а не единичный непроверенный случай.

Риски и подводные камни

Ключевая оговорка самого источника: борьба с такими ботнетами пока сводится к бесконечной игре в догонялки, разрушение одной сети не устраняет проблему, потому что операторы быстро строят новую из свежих скомпрометированных устройств. Пока массово не устранены базовые уязвимости конфигурации (открытый SNMP, стандартные пароли), кампания будет продолжаться независимо от точечных мер.

«Кибероперативники «Центра 16» Федеральной службы безопасности России продолжают эксплуатировать плохо настроенные и уязвимые сетевые устройства по всему миру, попутно компрометируя сети множества организаций из критически важных секторов.»

— CISA, совместное предупреждение