Rusia atacă prin routerele uitate de companii. Parolele slabe deschid drumul spre energie, bănci și spitale
Hackerii sprijiniți de statul rus continuă să pătrundă în rețele importante prin routere vechi, parole implicite și echipamente configurate greșit. Un avertisment publicat de Centrul Național de Securitate Cibernetică din Marea Britanie arată că operațiunile vizează organizații din energie, apărare, comunicații, sănătate, finanțe și administrație.
Campania este asociată cu Centrul 16 al Serviciului Federal de Securitate al Rusiei, cunoscut drept FSB. Atacatorii nu se bazează întotdeauna pe vulnerabilități noi și sofisticate. În multe cazuri, profită de probleme cunoscute de ani întregi, pe care organizațiile nu le-au rezolvat.
Routerele neprotejate devin poarta de intrare
Atacatorii scanează internetul pentru a găsi routere care au servicii de administrare expuse. Ei caută în special dispozitive care folosesc versiuni vechi ale protocolului SNMP. Acesta permite monitorizarea și configurarea echipamentelor de rețea.
Multe organizații păstrează parolele stabilite din fabrică. Altele folosesc combinații ușor de ghicit. După compromiterea unui dispozitiv, hackerii pot solicita exportarea configurației sale prin protocoale precum TFTP sau FTP.
Fișierul obținut poate conține nume de utilizatori, parole, adrese IP și detalii despre structura rețelei. Atacatorii folosesc apoi informațiile pentru a pătrunde mai adânc în infrastructură.
Problema confirmă că războiul cibernetic împotriva companiilor nu începe întotdeauna cu un virus spectaculos. Uneori, este suficient un router neactualizat și o parolă pe care nimeni nu a schimbat-o.
Echipamentele Cisco sunt printre țintele urmărite
Gruparea exploatează și vulnerabilități cunoscute din dispozitive Cisco. O altă cale de acces este funcția Cisco Smart Install. Aceasta a fost creată pentru instalarea rapidă a echipamentelor, dar poate deveni periculoasă când este expusă direct la internet.
După intrarea în rețea, atacatorii pot modifica setări, crea conturi locale și redirecționa traficul. Routerul compromis poate deveni și un punct de observație. Hackerii pot urmări comunicațiile sau pot folosi dispozitivul pentru a ascunde originea altor atacuri.
Centrul 16 este cunoscut și sub numele Energetic Bear, Crouching Yeti, Berserk Bear, Ghost Blizzard sau Static Tundra. Gruparea desfășoară operațiuni de spionaj împotriva unor ținte considerate importante pentru interesele strategice ale Kremlinului.
Operațiunile rusești folosesc metode diferite. Unele campanii au inclus identități false și mesaje atent construite. Într-un caz anterior, hackerii ruși s-au prezentat drept jurnaliști pentru a încerca să compromită sisteme ale apărării britanice.
Un atac putea lăsa 500.000 de oameni fără curent
Marea Britanie și statele Uniunii Europene au atribuit Centrului 16 un atac eșuat asupra rețelei energetice a Poloniei. Operațiunea a avut loc în decembrie 2025. Dacă ar fi reușit, aproximativ 500.000 de oameni ar fi putut rămâne fără electricitate în timpul iernii.
Atacurile asupra infrastructurii energetice nu urmăresc doar furtul de informații. Ele pot provoca întreruperi, panică și pierderi economice. Într-un conflict, oprirea electricității poate afecta spitalele, transporturile, comunicațiile și alimentarea cu apă.
Rusia a mai fost asociată cu atacuri împotriva sistemelor energetice. În 2022, hackerii militari ruși au încercat să lovească infrastructura electrică a Ucrainei. Operațiunea urmărea ștergerea fișierelor și oprirea unor substații.
Riscul nu este limitat la țările aflate în război. Routerele vulnerabile pot exista în orice companie sau instituție. Un dispozitiv compromis într-un furnizor poate oferi acces indirect către parteneri și clienți.
Marea Britanie și UE răspund cu sancțiuni
Marea Britanie și Uniunea Europeană au anunțat primul lor pachet comun de sancțiuni dedicat atacurilor cibernetice rusești. Măsurile vizează 24 de persoane și entități implicate în operațiuni distructive, spionaj și campanii de dezinformare.
Printre cei sancționați se află oficiali ai serviciului militar rus GRU și persoane asociate unor rețele de criminalitate cibernetică. Autoritățile susțin că Rusia folosește hackeri și grupări private pentru a obține informații și pentru a ascunde implicarea directă a statului.
Organizațiile sunt sfătuite să treacă la SNMPv3 și să dezactiveze versiunile mai vechi. Cisco Smart Install trebuie oprit dacă nu este necesar. Accesul prin TFTP și protocoalele de administrare trebuie blocat la nivelul firewallului.
Actualizările de firmware nu trebuie amânate. Fiecare router trebuie să aibă o parolă puternică și unică. Atacurile atribuite Rusiei arată că o putere cibernetică importantă poate fi oprită uneori prin măsuri elementare, aplicate la timp.