美国政府警告:俄罗斯黑客正盯上你的路由器

美国网络安全和基础设施安全局(CISA)发出警告,俄罗斯联邦安全局(FSB)旗下黑客组织持续大规模入侵家用及小型办公室路由器,将其用作攻击通信、国防、能源、金融及政府机构的跳板。黑客主要利用默认SNMP凭证漏洞控制设备,构建僵尸网络以掩盖恶意流量来源。CISA建议用户禁用SNMP v1/v2、启用强密码、定期更新固件,并关闭Cisco Smart Install功能,以降低被入侵风险。

联邦政府正在警告家庭及小型办公室路由器用户,务必加强设备安全防护。目前,俄罗斯国家黑客持续大规模入侵路由器,将其用于掩盖针对公共及私营机构敏感组织的恶意行动。

多年来,俄罗斯和中国政府均曾入侵路由器,有时甚至陷入旷日持久的争夺战,争相控制对方已占据的设备。美国政府也曾多次发出隐蔽指令,并采取其他措施清除路由器中的恶意程序。谷歌等公司也积极参与打击由受控路由器组成的大规模僵尸网络。然而,由于攻击者只需用新僵尸网络替换被摧毁的旧网络,这些应对措施不过是治标不治本。

美国网络安全和基础设施安全局(CISA)于本周一发出警告:"俄罗斯联邦安全局(FSB)第16中心的网络攻击者持续在全球范围内利用配置不当、存在漏洞的网络设备,伺机入侵多个关键基础设施领域的网络。"这些黑客组织有多个追踪名称,包括Berserk Bear、Energetic Bear、Crouching Yeti、Dragonfly、Ghost Blizzard和Static Tundra。此次警告由澳大利亚、丹麦、新西兰和英国等多国政府联合发布。

CISA重点提示的主要入侵手段是:黑客扫描开启简单网络管理协议(SNMP)代理且使用默认或常见认证凭据的IP地址段。这类扫描正是通过攻击者试图将目标设备纳入其中的路由器僵尸网络来执行的。通过发送来自伪造地址的恶意流量,黑客可以利用配置薄弱的路由器上的SNMP代理植入恶意程序。SNMP协议允许用户收集、整理受管网络设备的信息,或修改相关信息以改变设备行为。

一旦控制某台设备,黑客便将其作为出口节点,对通信、国防、能源、金融服务和政府等行业的目标展开探测或攻击。通过将恶意流量伪装成来自可信IP地址的正常设备流量,攻击者能够有效降低被防火墙及其他安全防御机制拦截的概率。

本周一发布的警告并未提及中国近年来开展的类似行动。所谓"住宅代理"同样是出于经济动机的犯罪黑客常用的IP地址隐匿工具。在许多情况下,这类代理由数百万台预装恶意软件的流媒体设备组成。

CISA呼吁路由器用户加强设备防护。在具体建议中,首要措施是禁用SNMP第1版和第2版,因为这两个版本既不加密密码,也不遵循其他基本安全规范,应改为仅使用SNMP第3版。更优方案是在无特定需求的情况下彻底关闭SNMP功能。其他防护措施还包括:在所有设备上禁用Cisco Smart Install、设置高强度密码、定期更新固件,以及避免使用其他存在风险的网络协议。

Q&A

Q1:俄罗斯黑客是如何入侵家庭和小型办公室路由器的?

A:俄罗斯黑客主要通过扫描开启了SNMP代理且使用默认或常见认证凭据的路由器来实施入侵。他们利用已控制的僵尸网络发送来自伪造地址的恶意流量,借助配置不当的路由器上的SNMP代理植入恶意程序,进而将该设备纳入自己的僵尸网络,并将其作为攻击其他目标时的流量出口节点,以规避防火墙等安全防护机制的检测。

Q2:SNMP协议为什么会成为路由器安全漏洞的主要入口?

A:SNMP第1版和第2版存在严重的安全缺陷,既不加密密码,也缺乏现代化的安全机制,因此极易被黑客利用。攻击者可以通过扫描使用这两个版本且凭据为默认设置的设备,快速批量控制大量路由器。CISA建议用户禁用SNMP第1版和第2版,仅使用更安全的第3版,或在无特定需求时彻底关闭SNMP功能,以有效降低被入侵的风险。

Q3:普通用户应该如何保护自己的路由器不被黑客入侵?

A:CISA给出了多项具体建议:禁用SNMP第1版和第2版,仅启用SNMP第3版,或在不需要时完全关闭SNMP;在使用思科设备时关闭Smart Install功能;设置高强度登录密码,避免使用默认凭据;定期更新路由器固件以修补已知漏洞;避免使用存在安全隐患的其他网络协议。这些措施能显著降低路由器被黑客劫持并用于网络攻击的概率。

来源:ArsTechnica

0赞

好文章,需要你的鼓励

2026

07/14

18:20

分享

点赞

邮件订阅