В августе 2025 года ФБР через IC3 выкатило предупреждение: кибероперативы российской ФСБ из подразделения Center 16 стянули конфигурационные файлы с тысяч сетевых устройств в секторах критической инфраструктуры. Два вектора - SNMP и семилетняя CVE-2018-0171 в Cisco Smart Install. На части устройств конфигурации не просто скачали, а модифицировали для постоянного несанкционированного доступа. Разведка в скомпрометированных сетях показала интерес атакующих к протоколам и приложениям, связанным с промышленными системами управления. Русскоязычный топ поисковой выдачи по запросу "APT-атаки" забит общими описаниями фишинговых цепочек и kill chain на уровне рабочих станций - ни один материал не разбирает конкретный инструментарий государственных группировок, направленный на маршрутизаторы и коммутаторы. Разберём.
Зачем APT-группировки атакуют маршрутизаторы
Маршрутизатор - устройство, через которое проходит весь трафик сегмента. Компрометация одного пограничного роутера даёт атакующему три вещи одновременно.Пассивный перехват трафика. Не нужно ставить агенты на конечные хосты - достаточно модифицировать ACL или настроить зеркалирование на контролируемый интерфейс. Весь трафик сегмента доступен для анализа без единого алерта на endpoint. Тихо, чисто, элегантно.
Устойчивый плацдарм за пределами мониторинга. На маршрутизаторах нет антивируса, нет агента EDR, а логи хранятся локально и ротируются. Медианное время обнаружения злоумышленника в сети - 11 дней по Mandiant M-Trends 2025, но для сетевых устройств эта цифра может быть кратно больше. Никто не ищет имплант на роутере, если хосты чистые. По CrowdStrike Global Threat Report 2025, 79% атак в 2024 году проводились без вредоносного ПО - через легитимные инструменты и протоколы управления. Маршрутизатор, управляемый через тот же CLI, что использует администратор - идеальная среда для такого подхода.
Путь в ICS/OT-сегмент. По данным ФБР, FSB Center 16 при компрометации сетевых устройств целенаправленно ищет протоколы, связанные с промышленными системами управления. Маршрутизатор на границе IT и OT-сегмента - сначала точка разведки, потом pivot в технологическую сеть. Для ТЭК и критической инфраструктуры это принципиально иной уровень угрозы: не кража данных, а потенциальное воздействие на физические процессы.
Кто такие FSB Center 16: Berserk Bear, Dragonfly, Static Tundra
FSB Center 16 - подразделение Федеральной службы безопасности России, отслеживаемое в открытых отчётах под несколькими именами. ФБР указывает, что "Berserk Bear" и "Dragonfly" относятся к отдельным, но связанным кластерам активности этого подразделения. Cisco Talos трекает связанный кластер как "Static Tundra". Berserk Bear и Dragonfly - исторические имена от CrowdStrike и Symantec, относящиеся к тому же или пересекающемуся кластеру.
Что мы знаем из предупреждения ФБР (IC3, август 2025):
- Более десяти лет непрерывного компрометирования сетевых устройств по всему миру
- Приоритетные цели - устройства, принимающие устаревшие незашифрованные протоколы: Smart Install и SNMP версий 1 и 2
- Кастомный инструментарий - в 2015 году публично идентифицировано вредоносное ПО SYNful Knock, которое подразделение разворачивало на определённых устройствах Cisco
- Масштаб - за один год ФБР зафиксировало сбор конфигурационных файлов с тысяч сетевых устройств в секторах критической инфраструктуры
Цепочка атаки на сетевое оборудование: от сканирования до контроля
Initial Access: SNMP-сканирование и CVE-2018-0171
Начальная фаза атаки FSB Center 16 не требует zero-day эксплойтов. По совместному advisory CISA, ФБР и NSA, атакующие используют массовое сканирование для поиска плохо настроенных сетевых устройств - прежде всего маршрутизаторов.SNMP как вектор входа. Simple Network Management Protocol версий 1 и 2 не поддерживает шифрование. Community string летит в открытом виде. Если администратор оставил дефолтное значение
public для чтения или private для записи - атакующий получает полный доступ к конфигурации устройства, а при write-доступе может её модифицировать. По MITRE ATT&CK это связка Exploit Public-Facing Application (T1190, Initial Access) и Network Device Configuration Dump (T1602.002, Collection).На практике SNMP-сканирование тривиально: GetBulk-запросы на UDP/161 по широким диапазонам IP. Устройства, отвечающие на стандартные community strings, мгновенно попадают в список целей. Трафик полностью легитимен с точки зрения протокола и не вызывает срабатываний на большинстве IDS. Вот и вся "сложная APT-атака" -
snmpwalk с дефолтным community string.CVE-2018-0171 - Cisco Smart Install. Второй ключевой вектор. Уязвимость затрагивает Cisco IOS и IOS XE: некорректная валидация пакетов позволяет неаутентифицированному удалённому атакующему вызвать перезагрузку устройства (DoS) или выполнить произвольный код.
Характеристики:
- Продукт: Cisco IOS и IOS XE
- Вектор: удалённый, без аутентификации
- Публичный PoC: EDB-44451, опубликован 29 марта 2018 года (автор - embedi), реализует только crash/DoS. RCE-эксплуатация подтверждена CISA KEV, но публичного working RCE-эксплойта в EDB нет
- Статус KEV: включена в каталог CISA Known Exploited Vulnerabilities с 3 ноября 2021 года - подтверждение активной эксплуатации
Предусловия и ограничения вектора: CVE-2018-0171 работает только на устройствах с активным сервисом Smart Install. Если
no vstack сконфигурирован - уязвимость неэксплуатируема. На устройствах с обновлёнными прошивками (патч доступен с 2018 года) вектор закрыт. Основная целевая аудитория - устройства с end-of-life (EOL) софтом, для которых обновления не выпускаются. ФБР прямо указывает на EOL-оборудование как приоритетную цель FSB Center 16.Execution и Persistence: модификация конфигурации и SYNful Knock
После получения доступа группировка переходит к закреплению. Техники выстраиваются от простых к сложным - каждая следующая повышает устойчивость имплантации.Уровень 1 - модификация конфигурации. Самый базовый способ закрепления: через SNMP write-доступ или Smart Install загрузить модифицированную конфигурацию. Атакующий добавляет нового пользователя с privilege level 15, меняет настройки VTY-линий (убирает аутентификацию или расширяет ACL), перенаправляет аутентификацию TACACS+/RADIUS на контролируемый сервер. В терминах ATT&CK - Network Device Authentication (T1556.004) в связке с Network Device CLI (T1059.008). По данным ФБР, именно этот вариант зафиксирован на скомпрометированных устройствах. После
write memory доступ переживает перезагрузку.Уровень 2 - модификация образа IOS. Patch System Image (T1601.001) - загрузка модифицированного образа операционной системы на устройство. SYNful Knock, публично идентифицированный в 2015 году, - конкретный пример: модифицированный IOS-образ исполняет имплант при каждой загрузке. Обнаружение требует сравнения хеша загруженного образа с эталонным значением от Cisco. Если не сверяешь хеши - не узнаешь.
Уровень 3 - ROMMONkit. ROMMONkit (T1542.004) - модификация загрузчика ROMMON. Наиболее глубокий уровень персистентности, задокументированный в MITRE ATT&CK для сетевых устройств. Имплант на уровне загрузчика переживает обновление IOS: даже если администратор перепрошивает устройство, модифицированный ROMMON остаётся. Обнаружение требует верификации загрузчика или физического доступа. Это уже хирургия уровня прошивки.
Место в kill chain: Initial Access (SNMP/CVE-2018-0171) -> Execution (T1059.008, CLI-доступ) -> Persistence (T1556.004 / T1601.001 / T1542.004, модификация auth/image/bootloader) -> дальнейшие операции из закреплённого плацдарма.
Collection и C2: дамп конфигураций и многоуровневое проксирование
Массовый сбор конфигураций (T1602.002) - основная цель в зафиксированных кампаниях. Конфигурация Cisco IOS содержит: полную топологию сети (интерфейсы, подсети, VLAN), учётные данные (пароли Type 0/5/7/8/9, SNMP community strings, ключи TACACS+), списки доступа (ACL), маршруты (статические, BGP/OSPF-пиры), настройки VPN-туннелей. Из одного конфигурационного файла опытный аналитик восстанавливает схему сегмента. Из тысяч конфигураций - архитектуру критической инфраструктуры целой страны.Снижение криптостойкости (T1600.001). Reduce Key Space - принудительный даунгрейд шифрования VPN-туннелей или SSH до слабых алгоритмов. Перехваченный трафик становится расшифровываемым. Техника особенно опасна на устройствах, терминирующих site-to-site VPN.
Многоуровневое проксирование (T1090.003). Скомпрометированные маршрутизаторы выступают узлами проксирования. C2-трафик проходит через цепочку легитимных сетевых устройств и становится неотличимым от нормального управляющего трафика (SSH, SNMP, NETCONF). Атрибуция к конкретному источнику крайне затруднена - каждый промежуточный маршрутизатор маскирует реальный адрес оператора. Попробуй отследи цепочку из пяти роутеров в разных юрисдикциях.
Полная карта TTP по MITRE ATT&CK
| Тактика | Техника | ATT&CK ID | Применение в контексте атак на сетевое оборудование |
|---|---|---|---|
| Initial Access | Exploit Public-Facing Application | T1190 | CVE-2018-0171 (Smart Install), SNMP с дефолтными community strings |
| Execution | Network Device CLI | T1059.008 | Команды через CLI после получения доступа к устройству |
| Persistence | ROMMONkit | T1542.004 | Модификация загрузчика ROMMON для переживания обновлений IOS |
| Credential Access / Persistence | Network Device Authentication | T1556.004 | Добавление пользователей, изменение TACACS+/RADIUS |
| Defense Evasion | Patch System Image | T1601.001 | SYNful Knock - модифицированный образ IOS (2015) |
| Defense Evasion | Reduce Key Space | T1600.001 | Даунгрейд шифрования VPN/SSH |
| Collection | Network Device Configuration Dump | T1602.002 | Массовый сбор конфигураций с тысяч устройств |
| Command and Control | Multi-hop Proxy | T1090.003 | Цепочки проксирования через скомпрометированные роутеры |
Все восемь техник задокументированы в MITRE ATT&CK с привязкой к платформам сетевых устройств. FSB Center 16 использует их не изолированно, а как связную цепочку: T1190 -> T1059.008 -> T1556.004 / T1601.001 / T1542.004 -> T1602.002 -> T1090.003. Каждый этап логически вытекает из предыдущего.
Обнаружение компрометации сетевого оборудования
Стандартные средства мониторинга - EDR, хостовые SIEM-агенты - на маршрутизаторах не работают. Обнаружение требует целенаправленных действий и понимания, что именно искать.Проверка целостности образа и конфигурации
На Cisco IOS XE доступны встроенные механизмы верификации:
Код:
show platform integrity
verify /sha512 bootflash:packages.conf
show platform integrity выводит статус проверки целостности аппаратных и программных компонентов. verify /sha512 вычисляет хеш образа для сравнения с эталоном из раздела Cisco Downloads. Расхождение хеша - прямой индикатор Patch System Image (T1601.001).Ограничение:
show platform integrity доступна не на всех платформах. На старых IOS (не IOS XE) применяйте verify /md5 с ручным сравнением. На EOL-устройствах эти команды могут отсутствовать - тогда единственный надёжный метод верификации прошивки - загрузка образа с устройства и сравнение хеша офлайн. Долго, муторно, но других вариантов нет.Аудит конфигурации - регулярное сравнение running-config с эталонной копией. Конкретные индикаторы компрометации:
- Новые пользователи с privilege level 15, не созданные администратором
- VTY-линии с отключённой аутентификацией или расширенными ACL
- SNMP community strings, не совпадающие с утверждёнными в документации
- Изменения в настройках TACACS+/RADIUS (новый сервер, изменённый ключ)
- Tcl-скрипты в NVRAM, исполняемые через
kronили EEM (персистентность) - Нестандартные ACL, разрешающие входящие подключения с неизвестных подсетей
Сетевые индикаторы
- Входящие подключения на TCP/4786 (Smart Install) с внешних IP - в нормальном режиме SMI-трафик ходит только внутри локальной сети
- SNMP-трафик (UDP/161, UDP/162) от адресов, не принадлежащих management-подсети
- Нетипичные GRE/IP-in-IP туннели, не совпадающие с документированной топологией
- SSH/Telnet-сессии к управляющим интерфейсам с нелегитимных IP-адресов
- Аномально большой объём исходящего TFTP/SCP-трафика с устройства (индикатор выгрузки конфигурации)
clear logging, и следов нет. NetFlow с пограничных маршрутизаторов в NTA-систему - для выявления аномальных потоков.Защита сетевого оборудования от APT: чеклист
📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
9. Out-of-band management. Управляющий трафик к сетевому оборудованию идёт по выделенному каналу, не через пользовательскую сеть. Минимально - выделенный management VLAN с отдельными ACL.
10. Реестр EOL-оборудования. Составить и поддерживать актуальный список всех сетевых устройств с датами окончания поддержки. Устройства без поддержки - в план замены с бюджетом и сроками. Для ориентира: Cisco ISR 4000 серии в зависимости от модели - от $1500 (refurbished) до $8000+ (новые), конкретные цены зависят от пропускной способности и лицензий.
На IR-расследованиях, где точкой входа было скомпрометированное пограничное оборудование, я каждый раз вижу одну и ту же картину: SIEM набит правилами корреляции для Windows-событий, EDR-агенты стоят на каждой рабочей станции - а маршрутизатор с SNMP v2c и community string
public молча пропускает трафик и не отправляет ни строчки в syslog. Формула на бумаге понятна: "обновить прошивку, отключить Telnet, перейти на SNMPv3". Но реальность такова, что в большинстве организаций сетевое оборудование живёт в слепой зоне SOC. Его обслуживают сетевые инженеры, которые мыслят категориями uptime, а не detection. А security-команда не лезет в роутеры, потому что "это сетевиков территория". Именно этот организационный разрыв эксплуатирует FSB Center 16 - не сложные zero-day, а дефолтные пароли и семилетние CVE на устройствах, которые никто не мониторит. CISA и NSA в 2025 году выпускают advisory с заголовком "router hygiene" - гигиена маршрутизатора. Сам факт, что такой документ понадобился, говорит о масштабе проблемы лучше любой статистики. Пока индустрия обсуждает AI-driven threat detection, государственные APT-группировки компрометируют критическую инфраструктуру через snmpwalk с дефолтным community string. На форуме codeby есть тред, где разбираем подобные IoC на сетевых устройствах по мере появления новых advisory - стоит заглянуть.
Последнее редактирование модератором: