美國國家安全局、聯邦調查局,還有澳大利亞、加拿大、英國、法國、意大利等13個國家的19家機構,在2026年7月13日聯合發布了一份不同尋常的安全警告。警告指向同一個對手:與俄羅斯聯邦安全局第16中心有關的網絡攻擊小組,他們正在針對全球范圍內的路由器展開大規模滲透,而且這場貓鼠游戲已經上演了超過10年。
多家安全公司給這個攻擊團伙起過不一樣的代號——Berserk Bear、Energetic Bear、Crouching Yeti、Dragonfly。名字雖然五花八門,指向的卻是同一群人。他們專門盯著通信、國防工業、能源、金融、政府服務、醫療和公共衛生這些關鍵領域下手,在政府系統中尤其偏愛州級和地方機構這類防范相對薄弱的節點。
![]()
攻擊者的第一步,往往安靜得讓人察覺不到。他們通過代理服務器隱藏真實的網絡地址,然后在互聯網上大規模掃描那些使用了SNMPv1或SNMPv2協議的網絡設備。這兩種老舊版本的安全認證機制極為脆弱,攻擊者只需嘗試幾個常見的默認共享字符串,就能輕松拿到路由器的“家門鑰匙”。獲取權限后,他們會通過對象標識符下達指令,讓路由器把完整的配置文件打包成“config.bkp”或者“output.txt”,再通過簡單文件傳輸協議傳送到事先準備好的虛擬專用服務器或被入侵的FTP站點上。
![]()
除了這種基于SNMP的掃描手法,攻擊者還會利用思科設備的已知漏洞、思科智能安裝功能以及網絡設備管理所用的網頁入口進行突破。讓情況更加復雜的是,這些手段并不新鮮,在代號“鹽臺風”等其他網絡攻擊行動中也能看到類似的痕跡。這意味著防御方要對付的不僅僅是某一個團伙,而是一整套被反復驗證過的攻擊思路。
被攻陷的路由器并不會就此閑置。科技媒體Ars Technica在相關報道中指出,攻擊者把這些受感染的設備當成了通信的“出口節點”,讓自己的惡意流量看起來像是從這些正常可信的網絡設備上發出的。這樣一來,防火墻和其他安全檢查機制被繞過的概率會大幅降低。這篇報道同時提到,近年來受到中國政府支持的網絡攻擊者也采用了類似的策略,把已經控制的網絡設備作為跳板,掩飾自己的真實行蹤。
面對這場持續十年以上、手法日漸成熟的威脅,19家機構給出的第一條建議異常具體:在所有設備上關閉思科智能安裝功能。SNMP協議的使用,要從v1和v2全面遷移到v3版本,并且必須打開兼具認證和加密功能的“authPriv”模式,選用設備所支持的最新加密算法。如果業務實在無法脫離舊版本,至少也要把默認的共享字符串改成強口令,設置為只讀權限。
![]()
在賬號管理上,每一臺網絡設備的本地賬戶都必須配置不會在其他地方復用的高強度密碼,所有認證憑據要妥善保管,避免明文記錄或隨意共享。對于通過SNMP管理的信息庫,可以采用許可名單機制來監控和限制對關鍵對象標識符的訪問,同時在入侵檢測系統中配置針對性的規則,專門捕捉那些試圖修改設備配置的SNMP寫入請求。
網絡層面的隔離同樣不能忽視。各機構建議使用訪問控制列表,將SNMP等管理協議的通路嚴格限制在管理專用設備上,條件允許的話,最好構建一條與日常業務流量完全分離的帶外管理網絡。在網絡邊界防火墻和設備層面,除非業務必須,否則應當阻斷UDP端口69、TCP端口4786、UDP端口161和162、以及TCP和UDP端口10161和10162的外部通信。
軟件和固件的更新,依然是最基礎也最有效的防線之一。管理者需要及時修補已知漏洞,對于已經停止官方支持的設備,唯一安全的做法是用仍在維護期內的新產品替換掉它。報告特別強調,雖然這次聯合警告聚焦的是俄羅斯聯邦安全局第16中心的活動,但上述所有防御措施,在檢測和對抗其他攻擊者使用的同類手法時同樣有效。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.