США и союзники предупредили о подготовке российских хакеров к атакам на критическую инфраструктуру

США и союзники предупредили о подготовке российских хакеров к атакам на критическую инфраструктуру

изображение: grok

Специалисты по кибербезопасности из США, Австралии, Великобритании, Канады, Новой Зеландии, Эстонии, Финляндии, Франции и Италии выпустили совместное техническое предупреждение о новой волне атак российской хакерской группы на маршрутизаторы. Злоумышленники охотятся за устройствами со слабыми паролями, устаревшими прошивками и небрежно настроенными протоколами, через которые проникают в сети энергетики, связи, банков, медицины и промышленности. Угроза напрямую касается и российских пользователей — тысячи домашних роутеров в РФ работают с заводскими настройками и открытым SNMP.

Российскую группу исследователи фиксируют сразу под несколькими названиями. В отчётах компаний по цифровой защите она проходит как Berserk Bear, Energetic Bear, Crouching Yeti, Dragonfly, Ghost Blizzard и Static Tundra. Список псевдонимов напоминает набор никнеймов одного слишком увлечённого геймера, но за каждым именем скрывается одна и та же продолжительная охота на сетевую инфраструктуру.

Хакеры сканируют огромные диапазоны IP-адресов и выискивают подключённые к интернету маршрутизаторы. Их интересуют устройства, где сохранились заводские параметры входа, распространённые пароли либо стандартные строки сообщества SNMP. Протокол SNMP при грамотной настройке помогает администраторам следить за оборудованием, а при небрежной конфигурации превращается в открытую форточку, через которую посторонний вытаскивает массу полезной информации.

После обнаружения слабого маршрутизатора злоумышленники отправляют ему команды, маскируя настоящий источник запросов поддельными IP-адресами. Затем они копируют файлы конфигурации и передают их на собственные серверы через протокол TFTP. Этот протокол известен своей простотой и минимальным набором защитных функций — он появился в эпоху, когда локальные сети были куда дружелюбнее.

Конфигурационные файлы маршрутизатора содержат адреса внутренних систем, параметры интерфейсов, учётные данные, сведения о VPN и правила маршрутизации. Получив такой архив, хакеры перестают блуждать по сети вслепую. Перед ними появляется почти полноценная карта здания, где подписаны коридоры, серверные комнаты и запасные входы.

Стоит обратить внимание, что российская группа не ограничивается подбором слабых паролей — её участники используют давно известные уязвимости в оборудовании Cisco и ошибки в веб-интерфейсах сетевых устройств.

Отдельное место в предупреждении занимает функция Cisco Smart Install. Она задумывалась как удобный инструмент быстрого развёртывания сетевого оборудования. Проблема кроется в уязвимости CVE-2018-0171, обнаруженной в Cisco IOS и Cisco IOS XE. Ошибка позволяет удалённому атакующему вмешаться в работу оборудования, получить доступ к конфигурации либо вызвать сбой. Уязвимость известна уже много лет, но часть организаций до сих пор эксплуатирует устройства с неподдерживаемыми версиями программного обеспечения.

Наибольшему риску подвержены следующие категории организаций:

  • энергетические предприятия и объекты генерации;
  • операторы связи и региональные провайдеры;
  • финансовые учреждения и платёжные сервисы;
  • медицинские организации и клинические сети;
  • оборонные компании и промышленные площадки.

Выбор маршрутизаторов в качестве цели выглядит логично. Эти устройства стоят на границе сети и управляют потоками данных. Если обычный заражённый компьютер сравним с захваченной квартирой, то взломанный маршрутизатор больше похож на контроль над подъездом, домофоном и почтовыми ящиками сразу. Компрометация сетевого оборудования позволяет перенаправлять соединения, менять правила доступа, создавать скрытые каналы и подменять настройки DNS.

Специалисты Великобритании сообщили, что российская группа регулярно ищет маршрутизаторы с заводскими паролями и слабыми строками сообщества SNMP. Автоматизированные сканеры проверяют множество адресов без ручного участия операторов. Владельцы небольших организаций нередко открывают административный интерфейс маршрутизатора в интернет ради удобства удалённой настройки, и подобная экономия времени заканчивается потерей контроля над устройством.

Российским пользователям тоже есть о чём беспокоиться. Домашние маршрутизаторы отечественных провайдеров массово поставляются с паролями admin/admin, открытыми панелями TR-069 и незакрытым SNMP. Небольшие предприятия в регионах РФ годами используют оборудование, снятое с поддержки производителем. Взлом такого устройства даёт хакерам не только доступ к трафику семьи или офиса, но и площадку для атак на других российских пользователей — от банковских клиентов до сотрудников госструктур.

Эксперты подготовили набор рекомендаций для сетевых администраторов:

  • переход на SNMPv3 с шифрованием и проверкой подлинности;
  • отключение устаревших версий SNMP либо ограничение доступа;
  • деактивация Cisco Smart Install при отсутствии реальной потребности;
  • замена стандартных паролей на длинные уникальные комбинации;
  • блокировка внешнего трафика TFTP и SNMP на межсетевых экранах.

Значения строк сообщества SNMP вроде public и private давно входят в первые списки, проверяемые автоматическими сканерами. Они известны злоумышленникам не хуже, чем пароль admin. Прошивки маршрутизаторов и коммутаторов необходимо регулярно обновлять, а оборудование с завершившимся сроком поддержки — заменять. Подобные устройства могут выглядеть исправными, передавать трафик и радостно мигать индикаторами, но новые патчи для них уже не выпускаются.

Предупреждение появилось после другой международной операции, направленной против кампании FrostArmada. Её связывали с отдельной российской группой, известной как APT28, Fancy Bear и Forest Blizzard. К декабрю 2025 года участники FrostArmada заразили около 18 тысяч маршрутизаторов в 120 странах. Масштаб получившейся сети сравним с огромным облачным сервисом, лишь вместо арендованных серверов использовались чужие домашние и офисные устройства.

Под удар попали маршрутизаторы MikroTik и TP-Link, предназначенные для небольших офисов и домашних сетей. Хакеры меняли на них параметры DNS, после чего часть пользовательского трафика отправлялась на контролируемые ими системы. Через подмену DNS российские хакеры пытались перехватывать данные для входа в Microsoft 365 и токены OAuth. Последние ценны тем, что позволяют злоумышленнику получить доступ к аккаунту без повторного ввода пароля.

Уточняется, что пользователь видит знакомую форму авторизации, вводит логин и код подтверждения, после чего считает процедуру завершённой — а украденный токен в это время уже путешествует на сервер атакующих и открывает им дверь к почте, документам и облачным сервисам.

В рамках международной операции специалисты удалённо исправили вредоносные DNS-настройки на заражённых маршрутизаторах. Устройства перевели на легитимные серверы, чтобы остановить перенаправление трафика на хакерскую инфраструктуру. Вмешательство проводилось по судебному разрешению и при участии представителей нескольких стран и частных компаний по цифровой защите.

Признаки, на которые администраторам стоит обратить внимание при проверке своей инфраструктуры:

  • массовые обращения к SNMP с внешних адресов;
  • неожиданные передачи файлов конфигурации через TFTP;
  • подключения оборудования к неизвестным серверам за рубежом;
  • изменения в настройках DNS без ведома администратора;
  • появление новых административных учётных записей.

Мнение экспертной редакции CISOCLUB по этому поводу сводится к тому, что российская группа Berserk Bear работает по одной и той же схеме уже почти пять лет, а количество уязвимых маршрутизаторов в мире не уменьшается. Проблема не в изощрённости атак, а в организационной инерции — производители выпускают патчи, а администраторы годами откладывают обновление сетевого оборудования.

Российским компаниям и частным пользователям пора перестать относиться к роутерам как к бытовой технике вроде микроволновки. Каждый забытый маршрутизатор с паролем admin — это готовый плацдарм не только для иностранной разведки, но и для криминальных группировок, которые с удовольствием подберут любые оставленные без присмотра устройства. Пока в российских офисах стоят коробки с прошивкой десятилетней давности, разговоры о цифровом суверенитете останутся разговорами.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: