NCSC Великобритании и Microsoft раскрыли детали продолжающейся кампании кибершпионажа, нацеленной на уязвимые сетевые маршрутизаторы, которую организовала российская государственная группировка Fancy Bear. — computerweekly.com
Национальный центр кибербезопасности Великобритании (NCSC) и Microsoft раскрыли масштабную кампанию по перехвату управления системой доменных имен (DNS), нацеленную на уязвимые потребительские и офисные (Soho) широкополосные маршрутизаторы, которую проводят российские спецслужбы киберразведки. Операции, организованные APT28 или Forest Blizzard – более известные как Fancy Bear – заключались в изменении настроек скомпрометированных устройств для перенаправления интернет-трафика через вредоносные серверы, контролируемые злоумышленниками. Таким образом Fancy Bear удавалось похищать данные, такие как учетные данные для входа, пароли и токены доступа к личным веб-сервисам и электронной почте своих жертв в рамках так называемой атаки «человек посередине» (adversary-in-the-middle, AiTM). В NCSC заявили, что кампания, вероятно, носила оппортунистический характер, поскольку Fancy Bear стремилась охватить как можно больше жертв. Атакуя незащищенное домашнее и малое офисное оборудование, Fancy Bear использовала менее контролируемые активы для проникновения в более крупные корпоративные среды или объекты, представляющие интерес для российской разведки. Действительно, Microsoft сообщила, что с начала кампании в августе 2025 года были затронуты более 200 организаций и 5000 потребительских устройств. «Эта активность демонстрирует, как эксплуатация уязвимостей в широко используемых сетевых устройствах может быть использована изощренными враждебными акторами», — заявил директор по операциям NCSC Пол Чичестер. «Мы настоятельно призываем организации и защитников сетей ознакомиться с методами, описанными в консультации, и следовать рекомендациям по смягчению последствий. NCSC продолжит разоблачать вредоносную кибердеятельность России и предоставлять практические рекомендации для защиты сетей Великобритании», — добавил он.
Маршрутизаторы под судом
Раскрытие последней кампании Fancy Bear происходит на фоне ожесточенных дебатов на другом берегу Атлантики, связанных с введением Федеральной комиссией по связи США (FCC) строгих ограничений на маршрутизаторы, произведенные за пределами США, что фактически затрагивает практически все коммерчески доступные модели. Решение США было обосновано тем, что такое оборудование представляет неприемлемый риск для национальной безопасности страны и ее граждан и жителей. Однако оно подверглось критике на том основании, что, хотя оно и ослабляет опасения по поводу возможного вмешательства других правительств — например, Китая — в сетевое оборудование, произведенное на их заводах, оно не решает проблему того, что уязвимости безопасности, подобные тем, которые эксплуатирует Fancy Bear, будут существовать независимо от места производства. Рик Фергюсон, вице-президент по анализу угроз в Forescout, написал в Computer Weekly, что маршрутизаторы представляют собой крайне привлекательную точку опоры для злоумышленников, поскольку они находятся на периферии сети, обычно обращены к публичному интернету и легко игнорируются после развертывания. «Многие из наблюдаемых нами слабостей связаны со знакомыми, измеримыми проблемами, такими как устаревшие программные компоненты, медленные циклы установки исправлений, слабые учетные данные, открытые интерфейсы управления и длительный срок службы, выходящий за рамки поддержки поставщика», — сказал он. «При анализе прошивок мы регулярно обнаруживаем общие компоненты, которые отстают от текущих версий на годы и содержат известные уязвимости, которые злоумышленники могут и используют». Фергюсон посоветовал командам безопасности рассматривать маршрутизаторы и аналогичную сетевую инфраструктуру как часть активной поверхности атаки, что на практике означает ведение точных инвентаризационных списков, приоритизацию управления их жизненным циклом, а также обеспечение обновлений прошивки и установки исправлений. Чтобы не дать злоумышленникам вроде Fancy Bear получить легкую победу, команды безопасности также должны отключать любые доступные из интернета интерфейсы управления, требовать уникальные учетные данные и применять меры сетевой сегментации, чтобы скомпрометированный маршрутизатор не обязательно обеспечивал более широкий доступ.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Alex Scroxton