深夜,一家能源公司的網絡監控屏突然彈出一條告警:一臺藏在角落、早已無人維護的老舊路由器,正稀里糊涂地向一個陌生 IP 地址發送整份配置文件。管理員手忙腳亂登錄設備,發現讀寫權限早已被一個名叫“public”的默認團體名遠程接管——這扇門,十多年來就沒真正鎖上過。而屏幕那頭的闖入者,并不是什么毛頭黑客,而是與俄羅斯聯邦安全局中心16有關聯的國家級攻擊團隊。
本月,美國國家安全局、網絡安全和基礎設施安全局、聯邦調查局聯合多國網絡安全機構發布了一份措辭直白的公告,直指這幫俄羅斯政府支持的黑客至今仍在沿用一套簡單到近乎笨拙的入侵套路:掃描整個互聯網,專門鎖定那些開啟弱驗證簡單網絡管理協議(SNMP)且面向公網暴露的路由器與交換機。能源、醫療、政府網絡被列為頭號風險區,原因是它們內部總躺著幾臺“反正還能用”的骨灰級網絡設備。
![]()
公告撕開了一個讓人既無語又無奈的真相:關鍵基礎設施的防線,往往不是因為什么零日漏洞或者好萊塢式的炫技攻擊被擊穿,而是因為一扇十年沒換過鎖的后門被大大咧咧地推開了。從視角來看,這不是一場新的攻擊潮,而是一場持續十多年的僵局——只要粗心管理員還在,攻擊者就永遠有路可走。
第一個窟窿:SNMP 老掉牙的“萬能口令”
黑客掃描全球地址空間時,重點尋找那些還開著 SNMPv1 或 v2c 協議的設備。這兩個骨灰級協議在設計時幾乎沒考慮過安全,設備之間靠一段明文“團體字符串”互相驗明正身,而廠商出廠時往往預置了 public(只讀)和 private(讀寫)這么兩個全世界都知道的字串。很多單位上線設備后五年十年沒改過,等于把自家網絡大門的鑰匙直接掛在門把手上。
攻擊者一旦用這些默認或弱口令字符串完成認證,就可以大搖大擺地給路由器發送“復制配置文件并發送到我指定服務器”的指令。整個過程不需要漏洞利用,更不需要植入惡意代碼,只靠一個標準的 SNMP 管理請求就能把整臺設備的配置搬走。用一句大實話講:不是黑客技術多高,是有人在請客。
第二個口子:思科智能安裝成了提權捷徑
有些攻擊路徑甚至比 SNMP 弱口令還直白。公告特意點名了思科設備上一個名叫“智能安裝”(Smart Install)的功能,原本是用來“零接觸”批量部署新交換機的便利工具,但很多客戶部署完之后就忘了關。這個功能一旦在面向公網的接口上啟用,無需任何身份驗證,任何遠程主機都可以要求設備下發配置文件,甚至修改操作系統鏡像。
俄羅斯黑客團隊沒有放過這個后門。他們結合一群早已公開的思科已知漏洞,把智能安裝當作跳板,一路摸進內網。這套組合拳的殺傷力在于,它壓根不需要繞什么多層防火墻——只要入口設備本身沒做訪問控制,攻擊者就能正大光明地從外網拿到管理級權限。這就像把機房鑰匙放在門墊下面,還貼了張紙條寫著“請取用”。
拿到路由器后,他們真正在找什么
很多人會下意識以為,拿下路由器下一步就是搞破壞:斷網、篡改流量、發動拒絕服務攻擊。但這份公告明確指出,俄羅斯這個黑客小組的目標根本不是立即制造混亂,而是“收集訪問通道”。路由器的配置文件在他們眼里是一張寶藏地圖:里面刻著整個網絡的拓撲結構、各網段的接口描述、訪問控制列表、相鄰設備信息,更致命的是經常還存著明文或弱加密的管理憑據。
有了這些東西,攻擊者就像拿到了整個大樓的消防疏散圖,知道哪扇門通往核心服務器區。他們可以安靜地潛伏數月甚至數年,逐步向更關鍵的資產橫向移動,等到俄羅斯政府戰略優先級發生變化的那一刻,才把這些預留好的入口轉化成真正的武器。換句話說,路由器只是第一塊被撬開的磚,真正值錢的東西全藏在后面那堵墻里。
這種“不求一時之快”的長期視角,恰恰讓這一類入侵格外危險。一次就偷完所有數據容易被察覺,而默默收集憑據和網絡地圖可以支持多次不同目的的后續行動,從情報收集到斷電破壞都落在這個口袋里。
關門的三條笨辦法,卻總被一拖再拖
公告不厭其煩地反復列出幾條連實習生都懂的安全措施,甚至讀起來像一份來自 2005 年的網絡管理員檢查清單:把那些已經停止接收安全更新、廠商不再簽發固件的老舊路由器直接換掉;能升級的立即刷到最新穩定版固件;明確關閉所有不用的思科智能安裝功能;同時將 SNMPv1 和 v2c 徹底遷移到支持強身份認證和加密的 SNMPv3。
聽起來毫無新意,但現實是,這些工作要么被排到永遠輪不到的下一個維護窗口,要么因為“改配置怕影響現有業務”而無限擱置。公告刻意把“現在就查”四個字放在醒目位置,建議所有組織從外網視角掃描一遍自己全部的邊界網絡設備,優先處理那些連補丁都接不到的“僵尸路由器”。
除此之外,強密碼和最小權限原則再次被拉到聚光燈下:更換所有默認團體字符串,將管理協議訪問權僅放行給受信任的管理網段,不再讓任何公網 IP直接觸碰 SNMP 或 SSH 管理口。同時,監控異常請求,尤其是來自陌生 IP 的大量 SNMP 讀操作,以及本地管理員賬戶在非工作時間的登錄行為。
都說高級持續性威脅最怕的就是拔網線,但這個故事提醒我們,真正讓國家級黑客團隊省下定制武器預算的,恰恰是全世界網絡管理員們共同犯下的拖延癥。當一個漏洞能穩定收割十年,攻擊者自然不必急著去燒腦發現下一個。這份聯合公告字里行間透著一種毫不掩飾的無奈:只要你把那臺忘了拔電的老路由從墻角翻出來處理掉,這幫黑客可能連動手的機會都沒有。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.