Російські хакери з ФСБ полюють на погано налаштовані роутери по всьому світу: попередження від США та союзників

15-07-2026 03:20
news-image
Агентства кібербезпеки США та ще восьми країн випустили спільне попередження: хакери 16-го центру ФСБ РФ продовжують компрометувати вразливі та погано налаштовані мережеві пристрої по всьому світу, використовуючи їх для проникнення в мережі критичної інфраструктури.

Рекомендацію «Покращуйте безпеку маршрутизаторів, щоб захиститися від цілеспрямованих атак, що фінансуються російською державою» опублікували АНБ, ФБР та CISA разом з агентствами Австралії, Великої Британії, Канади, Нової Зеландії, Естонії, Фінляндії, Франції та Італії, пише МА АСС з посиланням на mezha.ua.

Угруповання, що стоїть за атаками, у кібербезпековій індустрії відоме під назвами Berserk Bear, Energetic Bear, Dragonfly, Crouching Yeti, Ghost Blizzard і Static Tundra, а його активність простежується вже понад десятиліття.

Схема атак досить проста і не потребує складних вразливостей нульового дня. Хакери сканують діапазони IP-адрес у пошуках роутерів з активними агентами протоколу SNMP, які приймають стандартні або поширені облікові дані. Отримавши доступ, зловмисники копіюють конфігураційні файли пристроїв і вивантажують їх через протокол TFTP на власні сервери, збираючи облікові дані для подальшого проникнення. Окрім SNMP, група експлуатує давно відомі вразливості в обладнанні Cisco, зокрема у функції Smart Install.

Наші новини є у Facebook

Скомпрометовані роутери хакери використовують і як проксі-вузли: пропускаючи шкідливий трафік через "благонадійний" пристрій з довіреною IP-адресою, вони знижують шанси бути заблокованими фаєрволами та іншими засобами захисту. Тобто навіть домашній або офісний роутер пересічного користувача може стати інструментом атаки на чужу критичну інфраструктуру.

Серед головних цілей угруповання — сектори зв'язку, оборонної промисловості, енергетики, фінансових послуг, урядових установ та охорони здоров'я. Окремо агентства відзначають, що улюбленою мішенню росіян є мережі місцевих органів влади США.

Рекомендації захисту здебільшого зводяться до базової мережевої гігієни: перейти на SNMPv3 і вимкнути застарілі SNMPv1/v2, встановити надійні унікальні паролі, деактивувати Cisco Smart Install, заблокувати TFTP і SNMP на периметрі мережі там, де вони не потрібні, оновити прошивки та замінити застаріле обладнання, яке більше не отримує оновлень.

Попередження вийшло після нещодавньої міжнародної операції проти FrostArmada — окремої кампанії російської військової розвідки (APT28), яка станом на грудень 2025 року інфікувала 18 тисяч роутерів MikroTik і TP-Link у 120 країнах, підмінюючи DNS-налаштування для крадіжки логінів Microsoft 365. Тоді ФБР за рішенням суду дистанційно виправило шкідливі налаштування на заражених пристроях.

Источник: ACC