NSA предупреждает: связанные с Россией киберпреступники нацелены на маршрутизаторы Cisco!

В новом совместном предупреждении, опубликованном Агентством национальной безопасности США (NSA) и агентствами кибербезопасности 17 стран-партнеров, сообщается, что связанные с российским государством киберпреступники продолжают использовать уязвимости в маршрутизаторах и коммутаторах по всему миру для атак на объекты критической инфраструктуры.

В опубликованном 9 июля 2026 года консультативном документе под названием «Improve Router Hygiene to Protect Against Russian State-Sponsored Targeting» отмечается, что неправильная настройка сетевых устройств или использование устаревшего программного обеспечения становятся одной из самых удобных точек входа для спонсируемых государством групп кибершпионажа.

Кто стоит за атаками?

Согласно консультативному документу, эти кибератаки связаны с деятельностью подразделения, известного как Center 16, входящего в состав Федеральной службы безопасности России (ФСБ).

По данным экспертов, данная группа нацелена на следующие стратегические сектора в США и странах-союзниках:

  • оборонная промышленность;
  • телекоммуникационные сети и связь;
  • энергетический сектор;
  • финансовые услуги;
  • государственные учреждения;
  • система здравоохранения;
  • другие объекты критической информационной инфраструктуры.

Получив контроль над сетевыми устройствами, злоумышленники могут создавать скрытые точки входа во внутренние сети организаций и оставаться незамеченными в течение длительного времени.

Основная угроза — уязвимость Cisco Smart Install

В консультативном документе особое внимание уделено критической уязвимости в сервисе Cisco Smart Install, зарегистрированной под идентификатором CVE-2018-0171.

Данная уязвимость оценена в 9.8 балла по шкале CVSS и позволяет проводить удаленные атаки без аутентификации.

Используя уязвимость, злоумышленник может:

  • принудительно перезагружать устройство (Denial-of-Service);
  • удаленно выполнять вредоносный код (Remote Code Execution);
  • изменять конфигурацию устройства;
  • контролировать или перенаправлять сетевой трафик;
  • создавать скрытую точку доступа во внутреннюю сеть организации.

Хотя сервис Cisco Smart Install изначально был разработан для упрощения автоматической настройки новых сетевых устройств, в большинстве современных корпоративных сетей он практически не используется. Поэтому специалисты по безопасности считают его включение излишним риском.

Почему маршрутизаторы становятся основной целью?

Во многих организациях серверы, рабочие станции и другие информационные системы регулярно обновляются и проходят проверки безопасности. Однако пограничные сетевые устройства — маршрутизаторы и коммутаторы — часто не обновляются в течение длительного времени или используются с неправильными настройками.

Именно этот фактор создает удобную возможность для спонсируемых государством киберпреступников.

После успешной компрометации маршрутизатора злоумышленники могут:

  • отслеживать трафик во внутренней сети;
  • получать аутентификационные данные пользователей;
  • скрывать вредоносный трафик;
  • проникать на другие серверы и рабочие станции через латеральное перемещение (Lateral Movement);
  • обеспечивать долгосрочный скрытый доступ (Persistence).

Такие атаки обычно трудно обнаружить, и они могут нанести серьезный ущерб безопасности информационных систем организации.

Какие меры защиты рекомендуют эксперты?

NSA и партнерские организации рекомендуют администраторам сетей немедленно принять следующие меры:

  • полностью отключить сервис Cisco Smart Install, поскольку в большинстве производственных сред нет необходимости его использования;
  • перейти на протокол SNMPv3 вместо SNMPv1 и SNMPv2, так как он поддерживает надежную аутентификацию и шифрование;
  • использовать сложные и уникальные пароли на устройствах, отказаться от стандартных или повторно используемых паролей;
  • ограничить доступ к TFTP, Smart Install (SMI) и SNMP-сервисам через Интернет и фильтровать их с помощью межсетевого экрана (Firewall);
  • постоянно обновлять операционную систему (Cisco IOS/IOS XE) и микропрограмму (Firmware) устройств Cisco;
  • регулярно проводить аудит конфигураций маршрутизаторов и коммутаторов и контролировать несанкционированные изменения;
  • проверять устройства на наличие неизвестных пользователей, скрытых конфигураций или подозрительных процессов;
  • по возможности заменять сетевое оборудование с завершенной поддержкой (End-of-Life) на современное;
  • регулярно создавать резервные копии конфигурационных файлов сетевых устройств и контролировать их целостность;
  • внедрить многофакторную аутентификацию (MFA) для учетных записей администраторов и ограничить доступ к устройствам только с доверенных IP-адресов.

Подобные предупреждения уже публиковались ранее

Данное консультативное сообщение является продолжением предыдущих предупреждений.

В августе 2025 года Федеральное бюро расследований США (FBI) предупреждало о том, что связанные с российским правительством киберпреступники используют сетевые устройства для атак на объекты критической инфраструктуры.

Кроме того, в апреле 2026 года NSA и FBI сообщили, что группа APT28 (Fancy Bear, Forest Blizzard) использует уязвимости в маршрутизаторах, используемых в малых офисных и домашних сетях, включая устройства TP-Link.

Тогда эксперты рекомендовали пользователям перезагружать маршрутизаторы, отключать удаленное управление, менять стандартные пароли и проверять настройки VPN.

Заключение

Хотя спонсируемые государством кибератаки становятся все более сложными, большинство из них начинаются с сетевых устройств, на которых не соблюдаются элементарные правила безопасности. Устаревшее программное обеспечение, стандартные пароли и включенные ненужные сервисы предоставляют злоумышленникам возможность проникнуть через сетевой периметр во внутреннюю инфраструктуру.

Поэтому организациям необходимо регулярно проводить аудит не только серверов и рабочих станций, но и маршрутизаторов, коммутаторов и других сетевых устройств, своевременно обновлять их и настраивать в соответствии с современными требованиями безопасности.

В практике кибербезопасности именно такие простые, но важные профилактические меры являются одними из наиболее эффективных средств предотвращения многих сложных спонсируемых государством кибератак.