Wereldwijde waarschuwing voor Russische router hacks
In een zeldzaam brede coalitie waarschuwen negentien internationale inlichtingendiensten en cybersecurityorganisaties voor aanhoudende cyberaanvallen door de Russische geheime dienst FSB. De hackers richten zich specifiek op slecht geconfigureerde routers en netwerkapparatuur om binnen te dringen bij vitale sectoren, waaronder de zorg, energievoorziening, financiële instellingen en defensie.
De waarschuwing is uitgevaardigd door onder meer de Amerikaanse inlichtingendienst NSA, de FBI en cybersecurityorganisatie CISA, ondersteund door bondgenoten uit het Verenigd Koninkrijk, Canada, Australië, Nieuw-Zeeland en diverse Europese landen. Volgens de diensten misbruiken de hackers de matige digitale hygiëne van netwerkapparaten wereldwijd om onopgemerkt spionage-infrastructuur op te bouwen.
De zwakke schakel: Alledaagse netwerkapparatuur
Het doelwit van de Russische spionnen—actief onder de vlag van FSB Center 16 (in de cybersecuritysector ook bekend als Berserk Bear, Ghost Blizzard, Crouching Yeti of Dragonfly)—is vaak niet de zwaarst beveiligde bedrijfsserver, maar de router aan de grens van het netwerk.
De hackers scannen het internet systematisch af naar netwerkapparaten die openstaan voor het zogeheten Simple Network Management Protocol (SNMP). Dit is een standaardprotocol waarmee beheerders apparaten op afstand kunnen uitlezen. Veel organisaties gebruiken hierbij nog verouderde versies (SNMPv1 of v2) met standaardwachtwoorden, waardoor de deur voor kwaadwillenden wagenwijd openstaat.
"De systemen die we bouwen voor de toekomst moeten ook de veiligheid van onze vitale infrastructuur garanderen. Het verbeteren van routerhygiëne is geen optie meer, maar een absolute noodzaak."
— Gezamenlijke verklaring van de internationale cybersecuritycoalitie
De methode: Configuratiebestanden stelen
Zodra de hackers een kwetsbare router hebben geïdentificeerd, sturen ze via vervalste IP-adressen opdrachten naar het apparaat. De router wordt hiermee gedwongen om zijn volledige configuratiebestand (vaak opgeslagen als config.bkp of output.txt) te kopiëren en te versturen naar een server die in handen is van de aanvallers.
Met dit configuratiebestand krijgen de hackers direct toegang tot:
Gevoelige netwerktekeningen en interne IP-adressen.
Inloggegevens en wachtwoord-hashes van lokale beheerdersaccounts.
De mogelijkheid om dieper in te breken in het achterliggende bedrijfsnetwerk.
Naast SNMP-misbruik maken de aanvallers ook gebruik van bekende kwetsbaarheden in verouderde Cisco-software en de zogeheten Cisco Smart Install (SMI)-functionaliteit om apparaten op afstand over te nemen.
Welke sectoren lopen gevaar?
De inlichtingendiensten benadrukken dat de Russische overheidsofficieels zich niet beperken tot overheidsdoelwitten. De focus ligt momenteel op organisaties binnen de volgende vitale sectoren:
Gezondheidszorg: Ziekenhuizen en openbare gezondheidsdiensten.
Energie: Elektriciteitsnetwerken en nutsbedrijven.
Financiële dienstverlening: Banken en betaalsystemen.
Defensie-industrie: Toeleveranciers van defensie.
Telecom & Overheid: Communicatienetwerken en lokale overheden.
Directe actie vereist: Vier stappen voor netwerkbeheerders
De opstellers van het cybersecurity-advies roepen systeem- en netwerkbeheerders op om direct de 'hygiëne' van hun routers tegen het licht te houden en de volgende maatregelen te nemen:
1. Schakel Cisco Smart Install (SMI) uit: Dit protocol is een van de meest misbruikte ingangen voor deze specifieke hackersgroep en moet op alle actieve apparaten worden gedeactiveerd.
2. Forceer SNMPv3: Schakel verouderde standaarden (SNMPv1 en v2) volledig uit. SNMPv3 biedt sterke encryptie en authenticatie, waardoor wachtwoorden niet meer in platte tekst over het netwerk worden verzonden.
3. Beveilig lokale accounts: Gebruik sterke, unieke wachtwoorden voor lokale routeraccounts en zorg dat deze met moderne hash-methodes (zoals Cisco type 8) versleuteld zijn. Monitor daarnaast actief op ongebruikelijke inlogpogingen via lokale accounts.
4. Blokkeer kritieke poorten op de firewall: Blokkeer extern inkomend verkeer op poorten die niet strikt noodzakelijk zijn voor de bedrijfsvoering, met name UDP-poort 69 (TFTP), TCP-poort 4786 (SMI) en de standaard SNMP-poorten (161 en 162).