Госакторы охотятся за неправильно настроенными роутерами/шлюзами, взламывают удалённое администрирование и ставят бэкдоры. Вот конкретные шаги, которые нужно сделать срочно — для пользователей, бизнеса и провайдеров.
Что произошло и почему это важно?
Коротко: скоординированные группы активно сканируют интернет на предмет уязвимых роутеров и шлюзов , чтобы закрепиться в сетях, строить ботнеты и двигаться дальше внутри инфраструктур. Под риском — домохозяйства, SMB, провайдеры. Какие устройства под прицелом?
От домашних ADSL/ CPE до SOHO/ISP‑решений. Классические векторы: открытые интерфейсы администрирования, дефолтные пароли, устаревшие прошивки и известные CVE. Что делать срочно?
Практический чек‑лист Обновления и базовый харденинг Установите официальные обновления прошивки для роутера / шлюза . Не используйте модифицированные сборки из непроверенных источников. Выведите из эксплуатации неподдерживаемые модели. Пароли и учётные записи Замените дефолтные логины/пароли на длинные уникальные. Отключите учётки по умолчанию или ограничьте доступ по IP. Включите MFA там, где возможно. Удалённое управление и сервисы Закройте WAN -доступ к HTTP/HTTPS , TR-069 , Telnet , SSH , если не требуется. Для админдоступа используйте VPN с жёсткими политиками. Отключите UPnP , WPS и другие автосервисы. Сегментация и фаервол Отделите IoT/гостевую сеть от критичных сегментов через VLAN и правила межсетевого экрана. Запретите латеральное перемещение между сегментами. Мониторинг и диагностика Разверните NDR/NIDS (напр., Suricata , Zeek ), коррелируйте логи. Признаки компрометации: необычная админ‑активность, внезапные перезагрузки, всплески исходящего трафика, новые правила NAT/port‑forwarding, высокая загрузка CPU. Для предприятий и критических организаций Инвентаризация, SLA на патчи, централизованный патч‑менеджмент. Модель Zero Trust , MFA, бастион‑хосты/прокси для удалённого доступа. Для провайдеров и производителей Ускорить рассылку обновлений для управляемых CPE , включить авто‑патчинг. Коммуницировать с абонентами, предлагать замену устаревших устройств. IoC : что искать?
Админ‑логины с незнакомых IP, попытки доступа к /admin/. Открытые порты управления на WAN , подозрительная DNS -активность, обращения к C2. Применяйте блокировку известных IP/URL/хэшей на сетевом периметре и проводите расследование. Что это значит для пользователей?
Шаги из чек‑листа резко снижают риск компрометации и усложняют массовое формирование ботнетов. Время критично: сегодняшние патчи и гигиена — минус завтрашние инциденты.