Хто стоїть за кібердиверсіями?
Атаки приписують підрозділу "Центр 16" Федеральної служби безпеки РФ. Ця хакерська група відома в експертних колах під назвами Berserk Bear, Energetic Bear, Crouching Yeti, Dragonfly, Ghost Blizzard та Static Tundra. Про це пише видання BleepingComputer.
Спеціалісти з кібербезпеки зафіксували, що зловмисники сканують діапазони IP-адрес в інтернеті. Вони шукають маршрутизатори, які приймають стандартні або загальновживані паролі для протоколу SNMP. Після цього хакери надсилають команди з підроблених адрес, копіюють файли конфігурації пристроїв і передають їх на свої сервери.
"Центр 16" помітили під час полювання на вразливі роутери шляхом сканування інтернету на наявність пристроїв, які все ще використовують стандартні або слабкі паролі Simple Network Management Protocol,
– прокоментував представник британського Національного центру кібербезпеки.
Під ударом – енергетика та оборона
Найбільшого ризику зазнають сектори енергетики, зв'язку, оборонно-промислового комплексу, а також фінансові послуги, охорона здоров'я та державні установи. Окрім підбору паролів, російські хакери з листопада 2021 року експлуатують критичну вразливість у функції Smart Install програмного забезпечення Cisco IOS та Cisco IOS XE.
Попередження з'явилося після успішної міжнародної операції з ліквідації кампанії FrostArmada. Цей проєкт іншої групи, APT28 (пов'язаної з ГРУ Росії), встиг заразити 18 000 роутерів у 120 країнах до грудня 2025 року. Хакери змінювали налаштування DNS на пристроях MikroTik та TP-Link, щоб перенаправляти трафік і викрадати дані для входу в облікові записи Microsoft 365.
Хоча зловмисник переважно використовує сканування SNMP для пошуку та компрометації вразливих роутерів, він також експлуатує добре відомі вразливості, пов'язані з пристроями Cisco,
– додав фахівець британського Національного центру кібербезпеки.
ФБР спільно з урядом Польщі та приватними компаніями дистанційно видалили шкідливі налаштування з уже заражених пристроїв, але інші все ще вразливі.
Для захисту мереж фахівці радять адміністраторам оновити протоколи до SNMPv3, встановити складні паролі, заблокувати трафік TFTP і SNMP на мережевих екранах, а також вчасно оновлювати програмне забезпечення або замінювати застаріле обладнання.


