Агентства з кібербезпеки США та ще дванадцяти країн оприлюднили спільне попередження: хакери, повʼязані з російською федеральною службою безпеки (ФСБ), атакують вразливі та неправильно налаштовані маршрутизатори, щоб проникати в мережі обʼєктів критичної інфраструктури по всьому світу.
Спільне попередження, підготовлене АНБ, ФБР та CISA разом із 16 іншими відомствами з Австралії, Великої Британії, Італії, Канади, Нової Зеландії, Естонії, Фінляндії, Франції, Чехії, Данії, Польщі та Швеції, повʼязує атаки з хакерами «Центру 16» ФСБ.
Це угруповання (відоме також як Berserk Bear, Energetic Bear, Crouching Yeti, Dragonfly, Ghost Blizzard і Static Tundra) сканує підключені до інтернету діапазони IP-адрес у пошуках маршрутизаторів, які приймають стандартні або поширені рядки автентифікації SNMP. Виявивши такі пристрої, зловмисники надсилають команди з підроблених IP-адрес, змушують обладнання копіювати власні конфігураційні файли та викачують їх через протокол TFTP на підконтрольні сервери.
Ще в серпні 2025 року ФБР попереджало, що це саме угруповання з листопада 2021 року атакує критичну інфраструктуру, експлуатуючи критичну вразливість CVE-2018-0171 у функції Smart Install програмного забезпечення Cisco IOS та Cisco IOS XE.
Під найбільшим ризиком — енергетика, звʼязок, оборонно-промисловий комплекс, охорона здоровʼя, фінансові послуги, а також державні установи, насамперед на регіональному та місцевому рівнях.
«Центр 16 […] шукає вразливі маршрутизатори, скануючи інтернет у пошуках пристроїв, які досі використовують стандартні або слабкі паролі та рядки спільноти протоколу SNMP», — попередив у понеділок Національний центр кібербезпеки Великої Британії (NCSC). Хоча SNMP-сканування залишається основним методом угруповання, воно також використовує загальновідомі вразливості пристроїв Cisco, функції Cisco Smart Install (SMI) та вебпорталів керування, щоб отримувати контроль над мережевим обладнанням.

Того ж дня Велика Британія разом із державами ЄС офіційно атрибутувала «Центру 16» ФСБ грудневу атаку 2025 року на енергосистему Польщі — у разі успіху вона могла б залишити без електроенергії пів мільйона людей.
Автори попередження також надали рекомендації, які допоможуть захисникам мереж протистояти цим атакам:
- перейти на SNMPv3 і вимкнути застарілі версії SNMPv1 та SNMPv2;
- вимкнути функцію Cisco Smart Install на всіх пристроях;
- встановити надійні унікальні паролі для локальних облікових записів мережевого обладнання;
- блокувати трафік TFTP і SNMP на межових міжмережевих екранах;
- своєчасно оновлювати програмне забезпечення та прошивки;
- замінити пристрої, підтримку яких виробник уже завершив.
Публікація попередження стала продовженням міжнародної правоохоронної операції, яка знешкодила FrostArmada — окрему кампанію, яку приписують угрупованню APT28 (підрозділ російської військової розвідки, повʼязаний із частиною 26165 ГРУ; відоме також як Fancy Bear і Forest Blizzard). Станом на грудень 2025 року ця кампанія охопила 18 000 маршрутизаторів у 120 країнах.
За даними Black Lotus Labs (дослідницький підрозділ Lumen) та Microsoft, хакери змінювали налаштування DNS на скомпрометованих маршрутизаторах MikroTik і TP-Link для дому та малого офісу (SOHO), перенаправляючи трафік автентифікації на підконтрольні сервери та викрадаючи логіни Microsoft 365 і токени OAuth.
У межах санкціонованої судом операції за підтримки Міністерства юстиції США, уряду Польщі та кількох компаній із кібербезпеки ФБР дистанційно видалило шкідливі DNS-налаштування зі скомпрометованих маршрутизаторів і змусило їх підключатися до легітимних DNS-резолверів.

