13 июля, 17:01
2

Спецслужбы девяти стран предупреждают о новой хакерской кампании России

Спецслужбы США и еще восьми стран-партнеров обнародовали срочное предупреждение об активизации деятельности российских государственных хакеров. Злоумышленники используют уязвимые и неправильно настроенные роутеры для проникновения в сети критически важной инфраструктуры по всему миру.

Кто стоит за кибердиверсиями?

Атаки приписывают подразделению "Центр 16" Федеральной службы безопасности РФ. Эта хакерская группа известна в экспертных кругах под названиями Berserk Bear, Energetic Bear, Crouching Yeti, Dragonfly, Ghost Blizzard и Static Tundra. Об этом пишет издание BleepingComputer.

Специалисты по кибербезопасности зафиксировали, что злоумышленники сканируют диапазоны IP-адресов в интернете. Они ищут маршрутизаторы, которые принимают стандартные или широко используемые пароли для протокола SNMP. После этого хакеры отправляют команды с поддельных адресов, копируют файлы конфигурации устройств и передают их на свои серверы.

"Центр 16" был обнаружен во время поиска уязвимых роутеров путем сканирования интернета на наличие устройств, которые по-прежнему используют стандартные или слабые пароли Simple Network Management Protocol, 
– прокомментировал представитель британского Национального центра кибербезопасности.

Под угрозой – энергетика и оборона

Наибольшему риску подвержены секторы энергетики, связи, оборонно-промышленного комплекса, а также финансовые услуги, здравоохранение и государственные учреждения. Помимо подбора паролей, российские хакеры с ноября 2021 года эксплуатируют критическую уязвимость в функции Smart Install программного обеспечения Cisco IOS и Cisco IOS XE.

Предупреждение появилось после успешной международной операции по ликвидации кампании FrostArmada. Этот проект другой группы, APT28 (связанной с ГРУ России), успел заразить 18 000 маршрутизаторов в 120 странах к декабрю 2025 года. Хакеры изменяли настройки DNS на устройствах MikroTik и TP-Link, чтобы перенаправлять трафик и похищать учетные данные для входа в аккаунты Microsoft 365.

Хотя злоумышленник в основном использует сканирование SNMP для поиска и компрометации уязвимых роутеров, он также эксплуатирует хорошо известные уязвимости, связанные с устройствами Cisco, 
– добавил специалист британского Национального центра кибербезопасности.

ФБР совместно с правительством Польши и частными компаниями удаленно удалили вредоносные настройки с уже зараженных устройств, но остальные по-прежнему уязвимы.

Для защиты сетей специалисты советуют администраторам обновить протоколы до SNMPv3, установить сложные пароли, заблокировать трафик TFTP и SNMP на сетевых экранах, а также своевременно обновлять программное обеспечение или заменять устаревшее оборудование.

Связанные темы: