Уряди Сполучених Штатів Америки та їхніх союзників опублікували спільне попередження щодо активізації російських державних спонсорованих груп з підвищеною кваліфікацією (APT). Ці групи здійснюють сканування та експлуатацію вразливостей у погано захищених мережевих пристроях, зокрема маршрутизаторах, з метою отримання доступу до критично важливих інфраструктур по всьому світу. Серед згаданих груп – ті, що пов'язані з Центром 16 ФСБ РФ, такі як Berserk Bear, Energetic Bear та Ghost, хоча повний перелік може бути ширшим.
APT-групи використовують різноманітні методи для компрометації мережевих пристроїв. Це може включати використання слабких або стандартних паролів, експлуатацію відомих вразливостей у програмному забезпеченні пристроїв, а також застосування фішингових технік для отримання облікових даних адміністраторів. Компрометація маршрутизаторів дозволяє зловмисникам перехоплювати трафік, перенаправляти його на шкідливі ресурси, або ж використовувати пристрій як плацдарм для подальших атак на внутрішню мережу організації.
Ці атаки становлять значну загрозу для широкого кола організацій, що використовують мережеві пристрої для своєї діяльності. Особливо вразливими є:
- Підприємства критичної інфраструктури: енергетичні компанії, водопостачання, транспортні мережі, фінансові установи.
- Державні установи: урядові сайти, оборонні підприємства, органи місцевого самоврядування.
- Великі корпорації: будь-які організації з розгалуженою мережевою інфраструктурою.
- Малий та середній бізнес: часто мають обмежені ресурси для забезпечення належного рівня кібербезпеки.
Для мінімізації ризиків рекомендується вжити наступних заходів:
- Зміна стандартних паролів: негайно змініть усі стандартні паролі на складні та унікальні.
- Регулярне оновлення ПЗ: своєчасно встановлюйте оновлення для прошивок мережевих пристроїв, щоб усунути відомі вразливості.
- Обмеження доступу: використовуйте списки контролю доступу (ACL) та мережеву сегментацію для обмеження доступу до пристроїв.
- Моніторинг трафіку: впроваджуйте системи моніторингу мережевого трафіку для виявлення підозрілої активності.
- Використання VPN: для віддаленого доступу до мережі використовуйте надійні VPN-з'єднання.
- Двофакторна автентифікація: де це можливо, впроваджуйте двофакторну автентифікацію для доступу до адміністративних інтерфейсів.