
Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Rządy Stanów Zjednoczonych oraz państw sojuszniczych opublikowały zalecenia dotyczące ochrony routerów, przełączników i innych urządzeń sieciowych przed działaniami rosyjskich grup APT powiązanych z FSB Center 16. Ostrzeżenie podkreśla, że infrastruktura brzegowa pozostaje jednym z najłatwiejszych punktów wejścia do środowisk organizacji, zwłaszcza gdy korzysta ze słabych konfiguracji, przestarzałych protokołów zarządzania lub urządzeń bez wsparcia producenta.
Problem dotyczy nie tylko dużych operatorów czy administracji publicznej. Każda organizacja korzystająca z publicznie dostępnych interfejsów zarządzania, starszych wersji SNMP lub niepotrzebnie aktywnych usług administracyjnych zwiększa swoją powierzchnię ataku i ułatwia przeciwnikowi rozpoznanie środowiska.
W skrócie
Rosyjscy operatorzy APT prowadzą szerokie skanowanie internetu w poszukiwaniu urządzeń sieciowych z aktywnym SNMP, słabymi community strings oraz nieaktualnymi mechanizmami administracyjnymi. Celem jest pozyskanie konfiguracji, uzyskanie trwałego dostępu i przygotowanie gruntu pod dalsze działania wewnątrz sieci ofiary.
- Atakujący szukają urządzeń dostępnych z internetu i błędnie skonfigurowanych usług zarządzania.
- Szczególne ryzyko stwarzają SNMPv1 i SNMPv2, TFTP, FTP oraz Cisco Smart Install.
- Przejęcie routera lub przełącznika może ujawnić topologię sieci i krytyczne zależności między segmentami.
- Najważniejsze działania obronne to ograniczenie dostępu administracyjnego, migracja do SNMPv3 i wymiana sprzętu bez wsparcia.
Kontekst / historia
Aktywność przypisywana FSB Center 16 od lat pojawia się w analizach wywiadowczych i raportach branżowych pod różnymi nazwami, takimi jak Berserk Bear, Energetic Bear, Crouching Yeti, Dragonfly, Ghost Blizzard czy Static Tundra. Wspólnym elementem tych operacji jest wykorzystywanie infrastruktury sieciowej jako cichego i skutecznego punktu obserwacyjnego.
Historycznie grupy tego typu korzystały zarówno z błędów konfiguracyjnych, jak i ze znanych podatności w urządzeniach sieciowych. Szczególnie narażone były organizacje utrzymujące starsze protokoły zarządzania oraz usługi, które z założenia nie powinny być dostępne z niezaufanych segmentów. Najnowsze wytyczne pokazują, że ten model działania nadal pozostaje skuteczny, zwłaszcza wobec sektorów infrastruktury krytycznej.
Analiza techniczna
Technicznie kampania opiera się przede wszystkim na masowym rozpoznaniu adresów IP. Atakujący identyfikują urządzenia odpowiadające na zapytania SNMP, koncentrując się zwłaszcza na wersjach v1 i v2, które nie oferują nowoczesnego uwierzytelniania ani szyfrowania. Jeżeli urządzenie korzysta z domyślnych lub łatwych do odgadnięcia community strings, możliwe staje się odczytywanie danych zarządczych i pozyskanie konfiguracji.
Z punktu widzenia obrońcy jest to szczególnie groźne, ponieważ konfiguracje routerów i przełączników mogą zawierać informacje o interfejsach, trasach, listach kontroli dostępu, serwerach zarządzających, a czasem również dane pomocnicze ułatwiające dalsze przejęcie środowiska. Dodatkowym zagrożeniem jest wykorzystanie protokołów takich jak TFTP i FTP do kopiowania konfiguracji na systemy kontrolowane przez przeciwnika.
W zaleceniach zwrócono także uwagę na znane podatności w urządzeniach Cisco oraz ryzyko związane z funkcją Cisco Smart Install. Gdy funkcje tego typu pozostają aktywne i dostępne z niewłaściwych segmentów sieci, przeciwnik może nie tylko pobierać konfiguracje, ale również modyfikować ustawienia, otwierać dodatkowe ścieżki dostępu i przygotowywać środowisko do ruchu bocznego.
Przejęcie urządzenia sieciowego daje bardzo szeroką widoczność ruchu i zależności w środowisku. Router lub przełącznik dystrybucyjny może dostarczyć wiedzy o systemach IT i OT, usługach przemysłowych, połączeniach między segmentami oraz krytycznych ścieżkach komunikacji. To sprawia, że nawet pozornie ograniczona kompromitacja może być początkiem znacznie poważniejszej operacji.
Konsekwencje / ryzyko
Kompromitacja urządzeń sieciowych wiąże się z wysokim ryzykiem operacyjnym i strategicznym. Tego typu systemy są traktowane jako zaufane elementy infrastruktury, dlatego ich przejęcie może przez długi czas pozostać niezauważone.
- rozpoznanie architektury sieci i identyfikacja systemów krytycznych,
- pozyskanie konfiguracji zawierających wrażliwe informacje operacyjne,
- modyfikacja trasowania, reguł dostępu i ustawień zarządczych,
- przygotowanie kolejnych etapów ataku na środowiska IT i OT,
- utrzymanie trwałości na poziomie infrastruktury sieciowej.
Dla organizacji z sektorów krytycznych skutki mogą obejmować utratę poufności danych technicznych, osłabienie segmentacji bezpieczeństwa, zakłócenie ciągłości działania usług oraz zwiększenie ryzyka sabotażu lub cyberoperacji przygotowawczych do większych ataków.
Rekomendacje
Podstawowym celem powinno być ograniczenie powierzchni ataku urządzeń sieciowych. W praktyce oznacza to zarówno działania techniczne, jak i odpowiednie procedury administracyjne.
- Wyłączyć wszystkie zbędne usługi administracyjne, w tym Cisco Smart Install, TFTP oraz interfejsy zarządzania dostępne z internetu.
- Ograniczyć zarządzanie urządzeniami wyłącznie do dedykowanych, zaufanych segmentów administracyjnych.
- Zastąpić SNMPv1 i SNMPv2 rozwiązaniem SNMPv3 z silnym uwierzytelnianiem i szyfrowaniem.
- Usunąć domyślne community strings oraz wdrożyć unikalne i silne dane dostępowe.
- Stosować listy kontroli dostępu i reguły zapory do blokowania nieautoryzowanego ruchu zarządczego.
- Regularnie aktualizować firmware i eliminować urządzenia wycofane ze wsparcia producenta.
- Monitorować nietypowe odczyty SNMP, próby pobierania konfiguracji i zmiany w running-config oraz startup-config.
- Prowadzić cykliczne skanowanie ekspozycji zewnętrznej w ramach attack surface management.
W praktyce oznacza to konieczność traktowania routerów i przełączników jak aktywów krytycznych, a nie jedynie elementów technicznego zaplecza. Bezpieczna konfiguracja, monitoring i kontrola dostępu powinny być dla nich równie rygorystyczne jak dla serwerów, stacji roboczych czy systemów OT.
Podsumowanie
Najnowsze zalecenia władz USA i partnerów międzynarodowych potwierdzają, że infrastruktura sieciowa pozostaje atrakcyjnym celem dla rosyjskich grup APT. Ataki nie zawsze wymagają zaawansowanych exploitów zero-day, ponieważ często wystarczają nieaktualne protokoły, słabe konfiguracje i zbyt szeroko udostępnione mechanizmy administracyjne.
Dla organizacji oznacza to potrzebę konsekwentnej redukcji ekspozycji, migracji do bezpiecznych standardów zarządzania oraz stałego monitorowania zmian konfiguracji. Ochrona routerów i innych urządzeń sieciowych powinna być dziś jednym z kluczowych elementów strategii cyberbezpieczeństwa.
Źródła
- US and allied Governments’ Recommendations: Securing Network Devices Against Russian APT Groups — https://securityaffairs.com/195448/apt/us-and-allied-governments-recommendations-securing-network-devices-against-russian-apt-groups.html
- NSA and Partners Release Guidance on Improving Router Hygiene to Protect Against Russian State-Sponsored Targeting — https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/4541059/nsa-and-partners-release-guidance-on-improving-router-hygiene-to-protect-agains/
- Russian Government Cyber Actors Targeting Networking Devices, Critical Infrastructure — https://www.ic3.gov/PSA/2025/PSA250820
- Joint advisory on the exploitation of network devices by Russian state-sponsored cyber actors — https://www.cyber.gov.au/about-us/view-all-content/news/joint-advisory-on-the-exploitation-of-network-devices-by-russian-state-sponsored-cyber-actors
- UK and Allies urge critical sectors to improve defences against Russian intelligence targeting — https://www.ncsc.gov.uk/news/uk-and-allies-urge-critical-sectors-to-improve-defences-against-russian-intelligence-targeting