Russische staatshackers kapen wereldwijd slecht beveiligde routers om er hun eigen aanvalsverkeer achter te verbergen, waarschuwen de Amerikaanse cyberwaakhond CISA, de NSA en acht andere landen in een gezamenlijk advies van 13 juli. De aanvallers horen bij FSB Center 16, een cybereenheid van de Russische inlichtingendienst.
Het advies verschuift de dreiging van een probleem voor vitale infrastructuur naar een kwestie van device-hygiëne voor elk bedrijf. De hackers scannen namelijk lukraak IP-reeksen op zoek naar routers met standaard- of zwakke SNMP-instellingen. Staat op jouw kantoorrouter of edge-apparaat nog SNMP v1 of v2 aan, of draait er een oude Cisco-switch met een lek uit 2018, dan ben je een even makkelijk doelwit als een energiebedrijf. Niet om jouw data te stelen, maar om je apparaat als doorgeefluik te misbruiken.
Hoe de aanval werkt
De methode is simpel en goedkoop. Center 16 scant het internet op routers die reageren op SNMP v1 of v2 met standaard “community strings”, de wachtwoorden van dat beheerprotocol. Lukt dat, dan sturen de hackers met vervalste IP-adressen commando’s naar de router om het configuratiebestand te kopiëren en via TFTP naar hun eigen servers weg te sluizen. De groep, ook bekend als Berserk Bear, Energetic Bear en Static Tundra, misbruikt daarnaast een zeven jaar oud lek in Cisco’s Smart Install-functie, CVE-2018-0171, dat al sinds november 2021 wordt uitgebuit.
Met de controle over zo’n apparaat zetten de hackers het in als exit-node om aanvallen op de communicatie-, defensie-, energie- en financiële sector te verhullen. Het verkeer lijkt dan van een gewoon, betrouwbaar thuisadres te komen, waardoor firewalls en reputatielijsten het minder snel blokkeren. Dat is precies het patroon achter de residentiële proxynetwerken die de laatste tijd worden opgerold: Google en de FBI koppelden begin juli nog 2 miljoen gekaapte apparaten los uit het NetNut-proxynetwerk. Elk opgeruimd botnet wordt door de operators simpelweg door een nieuw vervangen.

Wat je router-hygiëne moet zijn
De opstellers geven concrete maatregelen, en de kern is telkens: sluit de protocollen die de aanval mogelijk maken.
| Maatregel | Wat het doet |
|---|---|
| Zet SNMP v3 aan, schakel v1 en v2 uit | v1 en v2 versleutelen wachtwoorden niet; gebruik alleen v3, of zet SNMP helemaal uit als je het niet gebruikt |
| Schakel Cisco Smart Install uit | sluit de deur naar CVE-2018-0171 op al je apparaten |
| Blokkeer de poorten op je edge-firewall | UDP 69 (TFTP), TCP 4786 (Smart Install) en UDP 161/162 (SNMP) |
| Gebruik sterke, unieke wachtwoorden | geen standaard-community-strings of gedeelde wachtwoorden |
| Werk firmware en software bij | dicht bekende lekken zoals het Cisco-lek |
| Vervang end-of-life-apparatuur | hardware die geen updates meer krijgt, blijft een open deur |
Voor een klein bedrijf zonder eigen netwerkbeheerder komt het neer op één simpele vraag: staat er ergens nog een router of switch die al jaren niet is aangeraakt? Dat is precies het apparaat waar dit advies over gaat.
De rand van je netwerk is de frontlinie
Het opvallende aan dit advies is dat het geen nieuw, exotisch lek beschrijft. De zwakke plekken (standaard-SNMP, een lek uit 2018, apparaten die niemand meer bijwerkt) zijn al jaren bekend. Dat maakt de waarschuwing juist veelzeggend: de goedkoopste manier om een staatshacker binnen te laten is een vergeten router in de meterkast.
Het losknippen van proxynetwerken helpt maar tijdelijk, want de operators bouwen meteen een nieuw netwerk op. De duurzame verdediging zit niet bij de opsporingsdiensten, maar bij de eigenaar van het apparaat. Voor Nederlandse organisaties betekent dat een verschuiving in denken: behandel elk edge-apparaat als een volwaardig onderdeel van je beveiliging, niet als een doos die “gewoon werkt”.
Veelgestelde vragen
Grip op je eigen infrastructuur
Dit soort waarschuwingen gaat over controle houden over je eigen apparaten en data. Ik ontwerp en bouw software en koppelingen die je self-hosted in eigen beheer draait, zodat je niet vastzit aan de kwetsbare standaardinstellingen van derden.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
