Genummerde blauwe netwerkkabels aangesloten op netwerkapparatuur in een rack.
Nieuws14 juli · 04:125 min leestijd

Russische staatshackers kapen routers, waarschuwen CISA en NSA

CISA, de NSA en acht andere landen waarschuwen dat Russische FSB-hackers wereldwijd slecht beveiligde routers kapen om ze als proxy te misbruiken. Elk bedrijf met verouderde of standaard ingestelde netwerkapparatuur is doelwit.

Russische staatshackers kapen wereldwijd slecht beveiligde routers om er hun eigen aanvalsverkeer achter te verbergen, waarschuwen de Amerikaanse cyberwaakhond CISA, de NSA en acht andere landen in een gezamenlijk advies van 13 juli. De aanvallers horen bij FSB Center 16, een cybereenheid van de Russische inlichtingendienst.

Het advies verschuift de dreiging van een probleem voor vitale infrastructuur naar een kwestie van device-hygiëne voor elk bedrijf. De hackers scannen namelijk lukraak IP-reeksen op zoek naar routers met standaard- of zwakke SNMP-instellingen. Staat op jouw kantoorrouter of edge-apparaat nog SNMP v1 of v2 aan, of draait er een oude Cisco-switch met een lek uit 2018, dan ben je een even makkelijk doelwit als een energiebedrijf. Niet om jouw data te stelen, maar om je apparaat als doorgeefluik te misbruiken.

Hoe de aanval werkt

De methode is simpel en goedkoop. Center 16 scant het internet op routers die reageren op SNMP v1 of v2 met standaard “community strings”, de wachtwoorden van dat beheerprotocol. Lukt dat, dan sturen de hackers met vervalste IP-adressen commando’s naar de router om het configuratiebestand te kopiëren en via TFTP naar hun eigen servers weg te sluizen. De groep, ook bekend als Berserk Bear, Energetic Bear en Static Tundra, misbruikt daarnaast een zeven jaar oud lek in Cisco’s Smart Install-functie, CVE-2018-0171, dat al sinds november 2021 wordt uitgebuit.

Met de controle over zo’n apparaat zetten de hackers het in als exit-node om aanvallen op de communicatie-, defensie-, energie- en financiële sector te verhullen. Het verkeer lijkt dan van een gewoon, betrouwbaar thuisadres te komen, waardoor firewalls en reputatielijsten het minder snel blokkeren. Dat is precies het patroon achter de residentiële proxynetwerken die de laatste tijd worden opgerold: Google en de FBI koppelden begin juli nog 2 miljoen gekaapte apparaten los uit het NetNut-proxynetwerk. Elk opgeruimd botnet wordt door de operators simpelweg door een nieuw vervangen.

CISA-infographic met de aanvalstechnieken van FSB Center 16 en de aanbevolen tegenmaatregelen, waaronder SNMP v3 en het uitschakelen van Cisco Smart Install. Bron: CISA.
CISA-infographic met de aanvalstechnieken van FSB Center 16 en de aanbevolen tegenmaatregelen, waaronder SNMP v3 en het uitschakelen van Cisco Smart Install. Bron: CISA.

Wat je router-hygiëne moet zijn

De opstellers geven concrete maatregelen, en de kern is telkens: sluit de protocollen die de aanval mogelijk maken.

MaatregelWat het doet
Zet SNMP v3 aan, schakel v1 en v2 uitv1 en v2 versleutelen wachtwoorden niet; gebruik alleen v3, of zet SNMP helemaal uit als je het niet gebruikt
Schakel Cisco Smart Install uitsluit de deur naar CVE-2018-0171 op al je apparaten
Blokkeer de poorten op je edge-firewallUDP 69 (TFTP), TCP 4786 (Smart Install) en UDP 161/162 (SNMP)
Gebruik sterke, unieke wachtwoordengeen standaard-community-strings of gedeelde wachtwoorden
Werk firmware en software bijdicht bekende lekken zoals het Cisco-lek
Vervang end-of-life-apparatuurhardware die geen updates meer krijgt, blijft een open deur

Voor een klein bedrijf zonder eigen netwerkbeheerder komt het neer op één simpele vraag: staat er ergens nog een router of switch die al jaren niet is aangeraakt? Dat is precies het apparaat waar dit advies over gaat.

De rand van je netwerk is de frontlinie

Het opvallende aan dit advies is dat het geen nieuw, exotisch lek beschrijft. De zwakke plekken (standaard-SNMP, een lek uit 2018, apparaten die niemand meer bijwerkt) zijn al jaren bekend. Dat maakt de waarschuwing juist veelzeggend: de goedkoopste manier om een staatshacker binnen te laten is een vergeten router in de meterkast.

Het losknippen van proxynetwerken helpt maar tijdelijk, want de operators bouwen meteen een nieuw netwerk op. De duurzame verdediging zit niet bij de opsporingsdiensten, maar bij de eigenaar van het apparaat. Voor Nederlandse organisaties betekent dat een verschuiving in denken: behandel elk edge-apparaat als een volwaardig onderdeel van je beveiliging, niet als een doos die “gewoon werkt”.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Grip op je eigen infrastructuur

Dit soort waarschuwingen gaat over controle houden over je eigen apparaten en data. Ik ontwerp en bouw software en koppelingen die je self-hosted in eigen beheer draait, zodat je niet vastzit aan de kwetsbare standaardinstellingen van derden.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Google en FBI halen NetNut-proxynetwerk neer: 2 miljoen gekaapte apparaten losgekoppeld
Nieuws
5 min

3 jul 22:21

Google en FBI halen NetNut-proxynetwerk neer: 2 miljoen gekaapte apparaten losgekoppeld

Google en de FBI ontmantelden NetNut, een residentieel proxynetwerk van meer dan 2 miljoen besmette Android-apparaten, smart-tv's en streamingboxen die crimineel verkeer verhulden achter gewone thuisadressen.

FBI waarschuwt voor supply-chain-groep TeamPCP en adviseert een minimale package-leeftijd
Nieuws
6 min

3 jul 14:10

FBI waarschuwt voor supply-chain-groep TeamPCP en adviseert een minimale package-leeftijd

De FBI bracht een officiele waarschuwing uit voor TeamPCP, die breed gebruikte ontwikkel- en beveiligingstools vergiftigde. De concrete raad: installeer een pakket pas na een minimale leeftijd van zeven dagen.

AI vindt je lekken sneller dan jij: niet 'ben je gepatcht' maar 'wie scant je keten het eerst'
Inzicht
6 min

13 jul 13:01

AI vindt je lekken sneller dan jij: niet 'ben je gepatcht' maar 'wie scant je keten het eerst'

Je hebt opgeschreven wat je AI-agent mag. Alleen weet niemand wie hij is.
Inzicht
7 min

9 jul 13:03

Je hebt opgeschreven wat je AI-agent mag. Alleen weet niemand wie hij is.

AI-agenten krijgen nu een eigen digitale identiteit, van Okta en de Linux Foundation tot Estland. Wie zijn agent op geleende inloggegevens laat draaien, verliest het zicht op wie er namens hem handelt.

Alberta scant 466 miljoen regels overheidscode met Claude Code
Nieuws
4 min

7 jul 04:11

Alberta scant 466 miljoen regels overheidscode met Claude Code

De provincie Alberta liet Claude Code in twintig uur 466 miljoen regels overheidscode scannen op kwetsbaarheden, meldt Anthropic in een eigen praktijkstudie. Het is een concreet voorbeeld van AI-codeaudit op overheidsschaal, met een vendor-voorbehoud.

CISA scant overheidscode met Anthropics Mythos op kwetsbaarheden
Nieuws
4 min

7 jul 00:09

CISA scant overheidscode met Anthropics Mythos op kwetsbaarheden

De Amerikaanse cyberdienst CISA gebruikt Anthropics AI-model Mythos nu operationeel om overheidscode te scannen op lekken, meldt Reuters. Daarmee verschuift AI-codeaudit van een eenmalige test naar dagelijks werk binnen een nationale cyberdienst, met een duidelijke politieke keerzijde.