Az Egyesült Államok, az Egyesült Királyság, Kanada, Ausztrália, Új-Zéland és több európai ország kiberbiztonsági szervezete közös figyelmeztetést adott ki egy hosszú ideje zajló orosz állami kiberműveletről.
A támadók világszerte internet felől elérhető routereket, hálózati eszközöket és egyéb peremhálózati infrastruktúrákat vesznek célba. A kampány elsősorban kritikus infrastruktúrákat, kormányzati szervezeteket, távközlési szolgáltatókat, energetikai vállalatokat, pénzügyi intézményeket, egészségügyi szervezeteket és védelmi ipari szereplőket érinthet.
A közös Cybersecurity Advisory kiadását többek között az alábbi szervezetek vezették:
- National Security Agency;
- Cybersecurity and Infrastructure Security Agency;
- Federal Bureau of Investigation;
- Department of Defense Cyber Crime Center;
- brit National Cyber Security Centre.
A dokumentum szerint a művelet mögött az orosz Szövetségi Biztonsági Szolgálat, vagyis az FSB Center 16 egységéhez kapcsolódó kiberoperátorok állnak.
Nem kizárólag zero-day hibákra támaszkodnak
A kampány egyik legfontosabb tanulsága, hogy a támadók nem feltétlenül fejlett és drága zero-day sérülékenységeket használnak.
Sok esetben elegendő számukra:
- egy elavult firmware;
- egy támogatásból kivezetett router;
- egy internet felől elérhető adminisztrációs felület;
- gyenge vagy alapértelmezett jelszó;
- régi menedzsmentprotokoll;
- hibásan konfigurált SNMP;
- engedélyezve hagyott Cisco Smart Install.
A fenyegetési szereplők automatizált szkenneléssel keresik azokat az eszközöket, amelyek ilyen alapvető biztonsági hiányosságokat tartalmaznak.
Több mint egy évtizede zajló műveletek
A nyugati hírszerző és kiberbiztonsági szervezetek több mint tíz éve követik az FSB Center 16 tevékenységét.
A csoportot a különböző biztonsági vállalatok több néven is azonosítják, például:
- Berserk Bear;
- Energetic Bear;
- Dragonfly;
- Crouching Yeti;
- Ghost Blizzard;
- Static Tundra.
A megnevezések eltérhetnek, de jellemzően egymással átfedő, az orosz hírszerzéshez kapcsolódó tevékenységeket jelölnek.
A csoport elsődleges célja nem a közvetlen pénzügyi haszonszerzés, hanem a hosszú távú hírszerzés.
Miért váltak elsődleges célponttá a routerek?
A routerek és egyéb hálózati eszközök gyakran kevésbé láthatók a vállalati biztonsági csapatok számára, mint a szerverek vagy a felhasználói végpontok.
Míg a munkaállomásokat rendszerint védi:
- vírusvédelem;
- endpoint detection and response;
- központi naplózás;
- sérülékenységkezelés;
- eszközmenedzsment;
addig a routerek sokszor éveken keresztül változatlan konfigurációval működnek.
Gyakori problémák:
- gyári vagy alapértelmezett hitelesítő adatok;
- gyenge adminisztrátori jelszavak;
- elavult SNMP-verziók;
- internet felől elérhető menedzsmentfelületek;
- régi firmware;
- nem támogatott hardver;
- nem megfelelő naplózás;
- nem ellenőrzött helyi felhasználói fiókok.
Ha egy támadó átveszi az irányítást egy router felett, a hálózati forgalom jelentős részére ráláthat anélkül, hogy az endpointvédelmi rendszerek feltétlenül észlelnék.
SNMP segítségével lopják el a konfigurációkat
A kampány egyik központi eleme a Simple Network Management Protocol, vagyis az SNMP kihasználása.
Az SNMP-t eredetileg routerek, switchek, nyomtatók, tűzfalak, szerverek és egyéb hálózati eszközök távoli felügyeletére tervezték.
A régebbi verziók, különösen az SNMPv1 és SNMPv2, egyszerű community stringeket használnak hitelesítésre.
Ezek gyakorlatilag egyszerű szöveges jelszavakként működnek.
Sok rendszerben még mindig megtalálhatók az alapértelmezett értékek, például:
- public;
- private.
A támadók automatizált internetes szkenneléssel keresik az ilyen módon elérhető eszközöket.
A router saját konfigurációját exportáltatják
A közös figyelmeztetés szerint az orosz operátorok speciálisan kialakított SNMP Set Request üzeneteket küldenek a sebezhető hálózati eszközöknek.
Ezek arra utasíthatják a routert, hogy másolja ki saját futó konfigurációját, majd továbbítsa azt egy támadó által irányított szerverre.
Az adatátvitelhez gyakran az alábbi protokollokat használják:
- TFTP;
- FTP.
A támadók virtuális magánszervereket vagy korábban kompromittált infrastruktúrát alkalmazhatnak a konfigurációk fogadására.
Mit tartalmazhat egy router konfigurációs fájlja?
Egy router teljes konfigurációja rendkívül értékes hírszerzési forrás.
Tartalmazhatja többek között:
- adminisztrátori felhasználóneveket;
- jelszavakat vagy jelszóhasheket;
- VPN-beállításokat;
- VPN-hitelesítési adatokat;
- belső IP-címzési sémákat;
- hálózati útválasztási információkat;
- Access Control List beállításokat;
- tűzfalszabályokat;
- hitelesítési szervereket;
- belső menedzsmenthálózatokat;
- tartalék adminisztrációs hozzáféréseket;
- kiemelten fontos belső rendszerek címeit.
Egyetlen konfigurációs fájl alapján a támadó részletes térképet kaphat a szervezet belső infrastruktúrájáról.
Ez jelentősen megkönnyítheti a későbbi:
- oldalirányú mozgást;
- hitelesítőadat-lopást;
- privilegizált rendszerek azonosítását;
- hálózati megfigyelést;
- hosszú távú perzisztencia kialakítását.
Cisco Smart Install rendszereket is támadnak
A tanácsadó külön kiemeli a Cisco Smart Install, vagyis SMI kockázatait.
A funkció eredetileg új Cisco hálózati eszközök automatikus telepítésére és konfigurálására szolgált.
Ha azonban a szolgáltatás közvetlenül elérhető az internetről, támadási felületté válhat.
A fenyegetési szereplők kihasználhatják konfigurációk lekérésére, módosítására vagy jogosulatlan adminisztratív műveletekre.
A tanácsadó olyan korábban ismert sérülékenységeket is megemlít, mint:
- CVE-2018-0171;
- CVE-2008-4128.
Ez is mutatja, hogy akár több mint tízéves hibák is aktív veszélyt jelenthetnek, ha az érintett eszközöket nem frissítik vagy már nem támogatottak.
Kritikus infrastruktúrák vannak veszélyben
A figyelmeztetés szerint az alábbi ágazatok kiemelt célpontok lehetnek:
- távközlés;
- energetika;
- védelmi ipar;
- pénzügyi szektor;
- egészségügy;
- állami és önkormányzati szervezetek;
- közműszolgáltatók;
- ipari rendszerek üzemeltetői.
Az önkormányzati és regionális közigazgatási hálózatok különösen vonzó célpontot jelenthetnek, mert alapvető közszolgáltatásokat működtetnek, miközben sok esetben korlátozott kiberbiztonsági erőforrásokkal rendelkeznek.
Hírszerzés előzheti meg a későbbi romboló műveleteket
A kampány elsődleges célja jelenleg információgyűjtés és tartós hozzáférés megszerzése lehet.
Ez azonban nem jelenti azt, hogy a tevékenység veszélytelen.
Az állami hátterű csoportok gyakran hónapokon vagy éveken keresztül térképezik fel a kritikus rendszereket, mielőtt komolyabb támadást hajtanának végre.
A hosszú távon megszerzett hozzáférés később felhasználható:
- kémkedésre;
- adatlopásra;
- kommunikáció megfigyelésére;
- szolgáltatások megzavarására;
- szabotázsra;
- geopolitikai konfliktus idején végrehajtott kiberműveletekre.
A brit hatóságok a 2025 decemberében a lengyel energiahálózat ellen végrehajtott támadási kísérletet is az FSB Center 16 tevékenységéhez kapcsolták.
Az edge infrastruktúra vált stratégiai célponttá
A routerek, tűzfalak, VPN-koncentrátorok és gateway-ek a vállalati hálózat első védelmi vonalát jelentik.
Ezeket összefoglaló néven edge infrastruktúrának nevezik.
Ha egy ilyen eszközt kompromittálnak, a támadó képes lehet:
- hálózati forgalom megfigyelésére;
- hitelesítő adatok elfogására;
- kommunikáció átirányítására;
- VPN-forgalom elemzésére;
- belső hálózati struktúra feltérképezésére;
- távoli hozzáférés fenntartására;
- további támadások előkészítésére.
A támadás gyakran nem igényel rosszindulatú program telepítését egy munkaállomásra, ezért nehezebben észlelhető a hagyományos EDR-megoldásokkal.
Az SNMPv1 és SNMPv2 használatát meg kell szüntetni
A részt vevő kiberbiztonsági szervezetek egyik legfontosabb ajánlása a régi SNMP-verziók kikapcsolása.
Ahol lehetséges, az SNMPv1 és SNMPv2 helyett SNMPv3 használata javasolt.
Az SNMPv3:
- erősebb hitelesítést biztosít;
- képes titkosítani a kommunikációt;
- csökkenti a community stringekkel kapcsolatos kockázatot;
- jobb hozzáférés-vezérlést tesz lehetővé.
Ha a régi verziók azonnali kivezetése nem lehetséges, legalább az alábbi intézkedések szükségesek:
- alapértelmezett community stringek lecserélése;
- erős, egyedi értékek használata;
- írási jogosultság letiltása;
- csak read-only hozzáférés engedélyezése;
- hozzáférés korlátozása megbízható menedzsmenthálózatokra;
- internet felőli SNMP-hozzáférés blokkolása.
A Cisco Smart Install szolgáltatást ki kell kapcsolni
A hatóságok azt javasolják, hogy a szervezetek tiltsák le a Cisco Smart Install funkciót minden olyan rendszeren, ahol nincs rá kifejezett üzleti szükség.
A szolgáltatás szükségtelen működtetése jelentősen növeli a támadási felületet.
A már telepített hálózati eszközök normál üzemeltetéséhez a Smart Install funkció rendszerint nem szükséges.
Erős adminisztrátori hitelesítés szükséges
A szervezeteknek felül kell vizsgálniuk minden helyi és távoli adminisztrátori fiókot.
Javasolt:
- minden alapértelmezett jelszó lecserélése;
- hosszú, egyedi jelszavak használata;
- többtényezős hitelesítés alkalmazása, ahol támogatott;
- ismeretlen helyi fiókok keresése;
- nem használt adminisztrátori fiókok törlése;
- hozzáférések rendszeres felülvizsgálata;
- privilegizált hozzáférések naplózása.
Cisco eszközöknél kerülni kell a gyenge vagy elavult jelszóformátumokat, például:
- Type 0;
- Type 4;
- Type 7.
Ahol támogatott, erősebb megoldás, például Type 8 használata javasolt.
A menedzsmentfelületeket el kell választani az internettől
A routerek és hálózati eszközök adminisztratív interfészei lehetőség szerint csak külön menedzsmenthálózatról legyenek elérhetők.
A hozzáférést Access Control List szabályokkal kell korlátozni.
Javasolt blokkolni az internetről:
- SNMP;
- TFTP;
- FTP;
- Telnet;
- Cisco Smart Install;
- webes adminisztrációs felületek;
- SSH, ha nincs rá közvetlenül szükség.
A menedzsmenthozzáférést VPN-en, bastion hoston vagy más ellenőrzött biztonsági átjárón keresztül célszerű biztosítani.
Gyanús SNMP Set Requestek monitorozása
A biztonsági csapatoknak figyelniük kell az SNMP Set Request műveleteket, különösen azokat, amelyek konfigurációmásolási funkciókhoz tartozó Object Identifier értékeket céloznak.
Gyanús lehet például:
- konfiguráció exportálása ismeretlen szerverre;
- TFTP-forgalom külső IP-cím felé;
- váratlan FTP-kapcsolat;
- ismeretlen SNMP-forráscím;
- adminisztrációs konfiguráció módosítása;
- új helyi felhasználói fiók létrehozása.
Az ilyen eseményeket potenciális kompromittálódási indikátorként kell kezelni.
A firmware-frissítés nem maradhat el
A hálózati eszközök gyakran hosszabb ideig maradnak üzemben, mint a szerverek vagy munkaállomások.
Ez azt eredményezheti, hogy a router:
- már nem támogatott;
- nem kap biztonsági frissítést;
- elavult operációs rendszert futtat;
- ismert, nyilvános exploitokkal támadható.
A szervezeteknek rendszeres firmware-frissítési ciklust kell kialakítaniuk.
A már támogatásból kivezetett eszközöket ki kell cserélni, különösen akkor, ha közvetlenül elérhetők az internetről.
Támadási felület felmérése szükséges
A szervezeteknek pontos eszközleltárt kell fenntartaniuk minden hálózati infrastruktúráról.
Fel kell mérni:
- mely eszközök érhetők el az internetről;
- mely portok vannak nyitva;
- milyen firmware-verzió fut;
- engedélyezve van-e SNMP;
- működik-e Cisco Smart Install;
- vannak-e támogatásból kivezetett eszközök;
- milyen adminisztrátori interfészek érhetők el;
- milyen helyi fiókok léteznek.
Az attack surface management megoldások segíthetnek a külső kitettség automatikus feltárásában.
Széles körű nemzetközi együttműködés
A tanácsadó mögött rendkívül széles nemzetközi koalíció áll.
Az Egyesült Államok szervezetei mellett a dokumentumot többek között az alábbi országok kiberbiztonsági hatóságai támogatták:
- Ausztrália;
- Kanada;
- Új-Zéland;
- Egyesült Királyság;
- Csehország;
- Dánia;
- Észtország;
- Finnország;
- Franciaország;
- Olaszország;
- Lengyelország;
- Svédország.
Az együttműködés azt mutatja, hogy az államilag támogatott kibertevékenységeket egyre inkább nemzetközi biztonsági fenyegetésként kezelik.
Szankciók is kapcsolódnak a figyelmeztetéshez
A közös tanácsadó megjelenésével egy időben az Egyesült Királyság és az Európai Unió koordinált szankciókat jelentett be több orosz kiberoperátorral és kapcsolódó szervezettel szemben.
A szankciók olyan személyeket és entitásokat érintenek, akiket hosszú ideje zajló európai hírszerzési és kiberoperációkhoz kapcsolnak.
A diplomáciai és pénzügyi intézkedések célja a műveletek költségeinek növelése és az érintett infrastruktúrák működésének korlátozása.
Az alapvető kiberhigiénia továbbra is döntő
A figyelmeztetés egyik legerősebb üzenete, hogy még a fejlett állami hátterű támadók is gyakran egyszerű hibákat használnak ki.
Ilyenek például:
- alapértelmezett jelszavak;
- régi protokollok;
- internetre kitett adminisztrációs portok;
- nem frissített firmware;
- támogatásból kivezetett eszközök;
- hiányos naplózás;
- gyenge hozzáférés-vezérlés.
A legmodernebb biztonsági technológiák sem képesek kompenzálni az alapvető konfigurációs hibákat.
Mit tegyenek az érintett szervezetek?
A szervezeteknek kiemelten javasolt:
- leltározni minden internet felől elérhető hálózati eszközt;
- megszüntetni az SNMPv1 és SNMPv2 használatát;
- bevezetni az SNMPv3-at;
- letiltani a Cisco Smart Install funkciót;
- frissíteni minden router és switch firmware-jét;
- lecserélni a támogatásból kivezetett eszközöket;
- lezárni az internet felől elérhető menedzsmentportokat;
- lecserélni az alapértelmezett hitelesítő adatokat;
- szigorítani az ACL-szabályokat;
- ellenőrizni a helyi adminisztrátori fiókokat;
- monitorozni a gyanús SNMP és TFTP-forgalmat;
- átvizsgálni a routerkonfigurációkat jogosulatlan módosítások után;
- elkülöníteni a menedzsmenthálózatot;
- naplózni és központilag elemezni a hálózati eszközök eseményeit.
Összegzés
Az NSA, a CISA, az FBI, az NCSC és több szövetséges ország kiberbiztonsági hatósága arra figyelmeztet, hogy az orosz FSB Center 16 operátorai világszerte internet felől elérhető routereket és hálózati eszközöket támadnak.
A műveletekhez gyakran nincs szükség kifinomult zero-day sérülékenységekre.
A támadók elavult firmware-t, gyenge SNMP-konfigurációkat, alapértelmezett community stringeket, Cisco Smart Install szolgáltatásokat és régi, ismert hibákat használnak ki.
A routerek kompromittálásával részletes hálózati konfigurációkat, hitelesítő adatokat és belső infrastruktúra-információkat szerezhetnek meg, amelyek hosszú távú hírszerzéshez vagy későbbi támadásokhoz használhatók fel.
A védekezés alapja a régi protokollok kivezetése, a firmware-ek frissítése, az adminisztrációs hozzáférések korlátozása, a menedzsmentfelületek leválasztása az internetről és a hálózati eszközök folyamatos monitorozása.




