Кто стоит за кибердиверсиями?
Атаки приписывают подразделению "Центр 16" Федеральной службы безопасности РФ. Эта хакерская группа известна в экспертных кругах под названиями Berserk Bear, Energetic Bear, Crouching Yeti, Dragonfly, Ghost Blizzard и Static Tundra. Об этом пишет издание BleepingComputer.
Специалисты по кибербезопасности зафиксировали, что злоумышленники сканируют диапазоны IP-адресов в интернете. Они ищут маршрутизаторы, которые принимают стандартные или широко используемые пароли для протокола SNMP. После этого хакеры отправляют команды с поддельных адресов, копируют файлы конфигурации устройств и передают их на свои серверы.
"Центр 16" был обнаружен во время поиска уязвимых роутеров путем сканирования интернета на наличие устройств, которые по-прежнему используют стандартные или слабые пароли Simple Network Management Protocol,
– прокомментировал представитель британского Национального центра кибербезопасности.
Под угрозой – энергетика и оборона
Наибольшему риску подвержены секторы энергетики, связи, оборонно-промышленного комплекса, а также финансовые услуги, здравоохранение и государственные учреждения. Помимо подбора паролей, российские хакеры с ноября 2021 года эксплуатируют критическую уязвимость в функции Smart Install программного обеспечения Cisco IOS и Cisco IOS XE.
Предупреждение появилось после успешной международной операции по ликвидации кампании FrostArmada. Этот проект другой группы, APT28 (связанной с ГРУ России), успел заразить 18 000 маршрутизаторов в 120 странах к декабрю 2025 года. Хакеры изменяли настройки DNS на устройствах MikroTik и TP-Link, чтобы перенаправлять трафик и похищать учетные данные для входа в аккаунты Microsoft 365.
Хотя злоумышленник в основном использует сканирование SNMP для поиска и компрометации уязвимых роутеров, он также эксплуатирует хорошо известные уязвимости, связанные с устройствами Cisco,
– добавил специалист британского Национального центра кибербезопасности.
ФБР совместно с правительством Польши и частными компаниями удаленно удалили вредоносные настройки с уже зараженных устройств, но остальные по-прежнему уязвимы.
Для защиты сетей специалисты советуют администраторам обновить протоколы до SNMPv3, установить сложные пароли, заблокировать трафик TFTP и SNMP на сетевых экранах, а также своевременно обновлять программное обеспечение или заменять устаревшее оборудование.


