Експлойти вразливих роутерів: погляд на дії російського FSB Center 16
Згідно з новим спільним консультативним документом, підготовленим агентствами кібербезпеки, Російський FSB Center 16 активно використовує вразливості в маршрутизаторах, пов’язані з SNMP та Cisco Smart Install. Цей документ узгоджений з Агентством національної безпеки США, CISA, ФБР та департаментом кіберзлочинності Міністерства оборони США, а також центрами кібербезпеки з 12 інших країн.
Агентства наголошують, що більше десяти років ця діяльність асоціюється з такими групами, як Berserk Bear, Energetic Bear та Dragonfly. Натомість FSB Center 16 методом просканування IP-адрес виявляє пристрої, що приймають загальнодоступні або дефолтні SNMP-рядки. Це дозволяє їм інструктувати агенти скидання конфігурацій в файли для подальшого їхнього переносу на віртуальні сервери.
Експлуатація і тактики
Зловмисники також активно використовують Cisco Smart Install, якщо ця функція залишається увімкненою, та використовують відомі вразливості, такі як CVE-2018-0171. Пріоритетними секторами є комунікації, енергетика, фінансові послуги та охорона здоров’я. За словами Пола Асадуріана із Eclypsium, “інфраструктура, на якій ми покладаємося щодня, стає прицілом для державних операцій”.
Покращення кібергігієни
З метою забезпечення безпеки, агенції рекомендують відключити Cisco Smart Install і перейти до SNMPv3 з використанням authPriv та надійного шифрування. Також важливо встановити довгі, унікальні паролі для локальних облікових записів, заблокувати підозрілі з’єднання та налаштувати контроль доступу SNMP.
Моніторинг і реагування на загрози
Організації повинні налаштувати системи для виявлення вторгнень та відстежувати запити з ідентифікаторами об’єктів (OIDs), перевіряючи місця, куди намагаються відправити конфігураційні файли. Окрім цього, будь-які підозрілі входи з локальних облікових записів повинні викликати негайну реакцію.
Безперервне сканування поверхні атаки та впровадження тактик забезпечить кращу безпеку та стійкість критичної інфраструктури. У США ця послуга доступна безкоштовно завдяки CISA, і оборонні підрядники можуть звернутися до DIB Cybersecurity Services для отримання додаткової допомоги.



