США и союзники предупредили о подготовке российских хакеров к атакам на критическую инфраструктуру

изображение: grok
Специалисты по кибербезопасности из США, Австралии, Великобритании, Канады, Новой Зеландии, Эстонии, Финляндии, Франции и Италии выпустили совместное техническое предупреждение о новой волне атак российской хакерской группы на маршрутизаторы. Злоумышленники охотятся за устройствами со слабыми паролями, устаревшими прошивками и небрежно настроенными протоколами, через которые проникают в сети энергетики, связи, банков, медицины и промышленности. Угроза напрямую касается и российских пользователей — тысячи домашних роутеров в РФ работают с заводскими настройками и открытым SNMP.
Российскую группу исследователи фиксируют сразу под несколькими названиями. В отчётах компаний по цифровой защите она проходит как Berserk Bear, Energetic Bear, Crouching Yeti, Dragonfly, Ghost Blizzard и Static Tundra. Список псевдонимов напоминает набор никнеймов одного слишком увлечённого геймера, но за каждым именем скрывается одна и та же продолжительная охота на сетевую инфраструктуру.
Хакеры сканируют огромные диапазоны IP-адресов и выискивают подключённые к интернету маршрутизаторы. Их интересуют устройства, где сохранились заводские параметры входа, распространённые пароли либо стандартные строки сообщества SNMP. Протокол SNMP при грамотной настройке помогает администраторам следить за оборудованием, а при небрежной конфигурации превращается в открытую форточку, через которую посторонний вытаскивает массу полезной информации.
После обнаружения слабого маршрутизатора злоумышленники отправляют ему команды, маскируя настоящий источник запросов поддельными IP-адресами. Затем они копируют файлы конфигурации и передают их на собственные серверы через протокол TFTP. Этот протокол известен своей простотой и минимальным набором защитных функций — он появился в эпоху, когда локальные сети были куда дружелюбнее.
Конфигурационные файлы маршрутизатора содержат адреса внутренних систем, параметры интерфейсов, учётные данные, сведения о VPN и правила маршрутизации. Получив такой архив, хакеры перестают блуждать по сети вслепую. Перед ними появляется почти полноценная карта здания, где подписаны коридоры, серверные комнаты и запасные входы.
Стоит обратить внимание, что российская группа не ограничивается подбором слабых паролей — её участники используют давно известные уязвимости в оборудовании Cisco и ошибки в веб-интерфейсах сетевых устройств.
Отдельное место в предупреждении занимает функция Cisco Smart Install. Она задумывалась как удобный инструмент быстрого развёртывания сетевого оборудования. Проблема кроется в уязвимости CVE-2018-0171, обнаруженной в Cisco IOS и Cisco IOS XE. Ошибка позволяет удалённому атакующему вмешаться в работу оборудования, получить доступ к конфигурации либо вызвать сбой. Уязвимость известна уже много лет, но часть организаций до сих пор эксплуатирует устройства с неподдерживаемыми версиями программного обеспечения.
Наибольшему риску подвержены следующие категории организаций:
- энергетические предприятия и объекты генерации;
- операторы связи и региональные провайдеры;
- финансовые учреждения и платёжные сервисы;
- медицинские организации и клинические сети;
- оборонные компании и промышленные площадки.
Выбор маршрутизаторов в качестве цели выглядит логично. Эти устройства стоят на границе сети и управляют потоками данных. Если обычный заражённый компьютер сравним с захваченной квартирой, то взломанный маршрутизатор больше похож на контроль над подъездом, домофоном и почтовыми ящиками сразу. Компрометация сетевого оборудования позволяет перенаправлять соединения, менять правила доступа, создавать скрытые каналы и подменять настройки DNS.
Специалисты Великобритании сообщили, что российская группа регулярно ищет маршрутизаторы с заводскими паролями и слабыми строками сообщества SNMP. Автоматизированные сканеры проверяют множество адресов без ручного участия операторов. Владельцы небольших организаций нередко открывают административный интерфейс маршрутизатора в интернет ради удобства удалённой настройки, и подобная экономия времени заканчивается потерей контроля над устройством.
Российским пользователям тоже есть о чём беспокоиться. Домашние маршрутизаторы отечественных провайдеров массово поставляются с паролями admin/admin, открытыми панелями TR-069 и незакрытым SNMP. Небольшие предприятия в регионах РФ годами используют оборудование, снятое с поддержки производителем. Взлом такого устройства даёт хакерам не только доступ к трафику семьи или офиса, но и площадку для атак на других российских пользователей — от банковских клиентов до сотрудников госструктур.
Эксперты подготовили набор рекомендаций для сетевых администраторов:
- переход на SNMPv3 с шифрованием и проверкой подлинности;
- отключение устаревших версий SNMP либо ограничение доступа;
- деактивация Cisco Smart Install при отсутствии реальной потребности;
- замена стандартных паролей на длинные уникальные комбинации;
- блокировка внешнего трафика TFTP и SNMP на межсетевых экранах.
Значения строк сообщества SNMP вроде public и private давно входят в первые списки, проверяемые автоматическими сканерами. Они известны злоумышленникам не хуже, чем пароль admin. Прошивки маршрутизаторов и коммутаторов необходимо регулярно обновлять, а оборудование с завершившимся сроком поддержки — заменять. Подобные устройства могут выглядеть исправными, передавать трафик и радостно мигать индикаторами, но новые патчи для них уже не выпускаются.
Предупреждение появилось после другой международной операции, направленной против кампании FrostArmada. Её связывали с отдельной российской группой, известной как APT28, Fancy Bear и Forest Blizzard. К декабрю 2025 года участники FrostArmada заразили около 18 тысяч маршрутизаторов в 120 странах. Масштаб получившейся сети сравним с огромным облачным сервисом, лишь вместо арендованных серверов использовались чужие домашние и офисные устройства.
Под удар попали маршрутизаторы MikroTik и TP-Link, предназначенные для небольших офисов и домашних сетей. Хакеры меняли на них параметры DNS, после чего часть пользовательского трафика отправлялась на контролируемые ими системы. Через подмену DNS российские хакеры пытались перехватывать данные для входа в Microsoft 365 и токены OAuth. Последние ценны тем, что позволяют злоумышленнику получить доступ к аккаунту без повторного ввода пароля.
Уточняется, что пользователь видит знакомую форму авторизации, вводит логин и код подтверждения, после чего считает процедуру завершённой — а украденный токен в это время уже путешествует на сервер атакующих и открывает им дверь к почте, документам и облачным сервисам.
В рамках международной операции специалисты удалённо исправили вредоносные DNS-настройки на заражённых маршрутизаторах. Устройства перевели на легитимные серверы, чтобы остановить перенаправление трафика на хакерскую инфраструктуру. Вмешательство проводилось по судебному разрешению и при участии представителей нескольких стран и частных компаний по цифровой защите.
Признаки, на которые администраторам стоит обратить внимание при проверке своей инфраструктуры:
- массовые обращения к SNMP с внешних адресов;
- неожиданные передачи файлов конфигурации через TFTP;
- подключения оборудования к неизвестным серверам за рубежом;
- изменения в настройках DNS без ведома администратора;
- появление новых административных учётных записей.
Мнение экспертной редакции CISOCLUB по этому поводу сводится к тому, что российская группа Berserk Bear работает по одной и той же схеме уже почти пять лет, а количество уязвимых маршрутизаторов в мире не уменьшается. Проблема не в изощрённости атак, а в организационной инерции — производители выпускают патчи, а администраторы годами откладывают обновление сетевого оборудования.
Российским компаниям и частным пользователям пора перестать относиться к роутерам как к бытовой технике вроде микроволновки. Каждый забытый маршрутизатор с паролем admin — это готовый плацдарм не только для иностранной разведки, но и для криминальных группировок, которые с удовольствием подберут любые оставленные без присмотра устройства. Пока в российских офисах стоят коробки с прошивкой десятилетней давности, разговоры о цифровом суверенитете останутся разговорами.



