美国国家安全局、联邦调查局,还有澳大利亚、加拿大、英国、法国、意大利等13个国家的19家机构,在2026年7月13日联合发布了一份不同寻常的安全警告。警告指向同一个对手:与俄罗斯联邦安全局第16中心有关的网络攻击小组,他们正在针对全球范围内的路由器展开大规模渗透,而且这场猫鼠游戏已经上演了超过10年。
多家安全公司给这个攻击团伙起过不一样的代号——Berserk Bear、Energetic Bear、Crouching Yeti、Dragonfly。名字虽然五花八门,指向的却是同一群人。他们专门盯着通信、国防工业、能源、金融、政府服务、医疗和公共卫生这些关键领域下手,在政府系统中尤其偏爱州级和地方机构这类防范相对薄弱的节点。
![]()
攻击者的第一步,往往安静得让人察觉不到。他们通过代理服务器隐藏真实的网络地址,然后在互联网上大规模扫描那些使用了SNMPv1或SNMPv2协议的网络设备。这两种老旧版本的安全认证机制极为脆弱,攻击者只需尝试几个常见的默认共享字符串,就能轻松拿到路由器的“家门钥匙”。获取权限后,他们会通过对象标识符下达指令,让路由器把完整的配置文件打包成“config.bkp”或者“output.txt”,再通过简单文件传输协议传送到事先准备好的虚拟专用服务器或被入侵的FTP站点上。
![]()
除了这种基于SNMP的扫描手法,攻击者还会利用思科设备的已知漏洞、思科智能安装功能以及网络设备管理所用的网页入口进行突破。让情况更加复杂的是,这些手段并不新鲜,在代号“盐台风”等其他网络攻击行动中也能看到类似的痕迹。这意味着防御方要对付的不仅仅是某一个团伙,而是一整套被反复验证过的攻击思路。
被攻陷的路由器并不会就此闲置。科技媒体Ars Technica在相关报道中指出,攻击者把这些受感染的设备当成了通信的“出口节点”,让自己的恶意流量看起来像是从这些正常可信的网络设备上发出的。这样一来,防火墙和其他安全检查机制被绕过的概率会大幅降低。这篇报道同时提到,近年来受到中国政府支持的网络攻击者也采用了类似的策略,把已经控制的网络设备作为跳板,掩饰自己的真实行踪。
面对这场持续十年以上、手法日渐成熟的威胁,19家机构给出的第一条建议异常具体:在所有设备上关闭思科智能安装功能。SNMP协议的使用,要从v1和v2全面迁移到v3版本,并且必须打开兼具认证和加密功能的“authPriv”模式,选用设备所支持的最新加密算法。如果业务实在无法脱离旧版本,至少也要把默认的共享字符串改成强口令,设置为只读权限。
![]()
在账号管理上,每一台网络设备的本地账户都必须配置不会在其他地方复用的高强度密码,所有认证凭据要妥善保管,避免明文记录或随意共享。对于通过SNMP管理的信息库,可以采用许可名单机制来监控和限制对关键对象标识符的访问,同时在入侵检测系统中配置针对性的规则,专门捕捉那些试图修改设备配置的SNMP写入请求。
网络层面的隔离同样不能忽视。各机构建议使用访问控制列表,将SNMP等管理协议的通路严格限制在管理专用设备上,条件允许的话,最好构建一条与日常业务流量完全分离的带外管理网络。在网络边界防火墙和设备层面,除非业务必须,否则应当阻断UDP端口69、TCP端口4786、UDP端口161和162、以及TCP和UDP端口10161和10162的外部通信。
软件和固件的更新,依然是最基础也最有效的防线之一。管理者需要及时修补已知漏洞,对于已经停止官方支持的设备,唯一安全的做法是用仍在维护期内的新产品替换掉它。报告特别强调,虽然这次联合警告聚焦的是俄罗斯联邦安全局第16中心的活动,但上述所有防御措施,在检测和对抗其他攻击者使用的同类手法时同样有效。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.