Twój domowy router na celowniku rosyjskich hakerów. Służby ostrzegają przed kampanią FSB
Agencje cyberbezpieczeństwa z całego świata, w tym amerykańska CISA oraz służby z Wielkiej Brytanii, Australii i Nowej Zelandii, wydały pilne ostrzeżenie dla użytkowników routerów domowych oraz małych biur.
Państwowe grupy hakerskie powiązane z rosyjską Federalną Służbą Bezpieczeństwa (FSB) prowadzą masowe, zautomatyzowane skany w celu przejęcia kontroli nad słabo zabezpieczonym sprzętem sieciowym. Po przejęciu urządzenia nie służą one jednak do atakowania ich właścicieli – stają się cichymi pośrednikami, wykorzystywanymi do maskowania operacji szpiegowskich przeciwko instytucjom rządowym i sektorowi energetycznemu.
Dla nas to jasny sygnał, że bezpieczeństwo sieci nie kończy się na silnym haśle do Wi-Fi. Przejmowanie domowych routerów przez wywiady Rosji czy Chin trwa od lat i przypomina niekończącą się grę w kotka i myszkę – rozbite przez służby botnety są natychmiast zastępowane nowymi. Jeśli nasz sprzęt zostanie zainfekowany, przestępcy zyskują tzw. domowy adres proxy (residential proxy). Z perspektywy systemów obronnych złośliwy ruch wygląda wtedy jak legalne, codzienne korzystanie z internetu przez zwykłego obywatela, co drastycznie utrudnia wykrycie ataku.
Dlaczego hakerzy szukają prywatnych adresów IP?
Większość zaawansowanych systemów bezpieczeństwa w bankach czy korporacjach automatycznie blokuje ruch sieciowy pochodzący z podejrzanych serwerów w chmurze lub znanych zagranicznych ośrodków. Hakerzy znaleźli jednak na to sposób. Jeśli uda im się włamać na router stojący w prywatnym mieszkaniu, przepuszczają swój atak przez to urządzenie, ukrywając się za tożsamością niewinnego użytkownika.
Za obecną falą ataków stoją grupy śledzone przez ekspertów m.in. jako Berserk Bear, Dragonfly czy Ghost Blizzard. Wykorzystują one zautomatyzowane botnety do bezustannego przeczesywania sieci. Szukają urządzeń, które posiadają włączone, przestarzałe protokoły lub fabryczne, niezmienione od nowości dane logowania. Gdy router odpowie na taki skan, staje się tzw. węzłem wyjściowym, z którego bezpośrednio uderza się w serwery administracji publicznej czy sektora finansowego.
Słaba konfiguracja protokołu SNMP otwiera drzwi do sieci
Jednym z głównych wektorów opisanych w najnowszym ostrzeżeniu CISA jest podatność w konfiguracji usługi SNMP (Simple Network Management Protocol). To powszechnie stosowane rozwiązanie, które służy do zdalnego zarządzania urządzeniami sieciowymi i zbierania o nich informacji.
Problem polega na tym, że miliony routerów na całym świecie mają fabrycznie włączone starsze wersje tego protokołu (SNMPv1 oraz SNMPv2). Ich kluczową wadą jest całkowity brak szyfrowania haseł dostępowych oraz przesyłanych instrukcji. Hakerzy posługujący się zautomatyzowanymi skanerami masowo trafiają na urządzenia z domyślnymi poświadczeniami, co pozwala im na modyfikację konfiguracji sprzętu i uruchamianie na nim złośliwego oprogramowania.
Jak sprawdzić i skutecznie zabezpieczyć swój domowy router?
Analiza mechanizmów wykorzystywanych przez grupy powiązane z FSB pokazuje, że większość infekcji wynika z prostych błędów konfiguracyjnych, których naprawienie zajmuje zaledwie kilka minut. Aby zminimalizować ryzyko włączenia naszego routera do globalnego botnetu, warto wdrożyć podstawowe zasady higieny cyfrowej:
- Wyłącz protokół SNMP: zaloguj się do panelu administracyjnego swojego routera i całkowicie wyłącz usługę SNMP, o ile nie używasz jej świadomie do zaawansowanego zarządzania siecią. Jeśli jest ona niezbędna, upewnij się, że korzystasz wyłącznie z bezpiecznej wersji SNMPv3, która wprowadza szyfrowanie.
- Zmień fabryczne dane logowania: domyślne hasła dostępu do panelu zarządzania typu „admin”, „1234” czy nazwa producenta to pierwsze, co sprawdzają automaty hakerów. Hasło administratora powinno być unikalne i silne.
- Zablokuj zdalne zarządzanie: upewnij się, że panel konfiguracyjny routera jest dostępny wyłącznie z poziomu sieci lokalnej (LAN), a funkcja zarządzania od strony internetu (WAN / Remote Management) jest wyłączona.
- Wyłącz zbędne usługi: raporty bezpieczeństwa zalecają również wyłączenie innych nieużywanych protokołów zarządzania, takich jak Cisco Smart Install, oraz regularne aktualizowanie oprogramowania układowego (firmware) routera.






