文章总结: 13国19家情报与网络安全机构联合发布公告,揭露俄罗斯FSB第16中心利用配置不当的网络设备(如SNMP弱口令、思科SmartInstall漏洞)对全球关键基础设施实施机会主义渗透。攻击目标涵盖通信、能源、金融等行业。公告提供了禁用SmartInstall、使用SNMPv3等七项缓解措施,并建议组织注册免费网络安全服务。这是西方对俄网络威胁反击的升级,从技术预警转向复合型应对体系。 综合评分: 85 文章分类: 威胁情报,漏洞分析,安全运营,网络安全,红队
美英等13国19机构联合点名俄FSB:全球关键基础设施的路由器暗战警报拉响
原创
网空闲话 网空闲话
网空闲话plus
2026年7月14日 07:02 北京
在小说阅读器读本章
去阅读
2026年7月13日,美国与12个盟国的19家情报与网络安全机构罕见地发布联合网络安全公告,揭露俄罗斯联邦安全局(FSB)第16中心持续利用全球范围内配置不当的网络设备,对多个关键基础设施行业实施机会主义渗透。这份技术性文件与英国同日实施的新一轮对俄制裁、以及针对波兰能源网攻击事件的正式归因声明同步发出,标志着西方社会对俄罗斯国家支持型网络威胁的反击,已从单一技术预警升级为“情报共享—技术防御—外交制裁—法律追责”的复合型应对体系。
一、发布网络:从“五眼”到13国联署
此次公告的牵头机构为美国国家安全局(NSA)、网络安全和基础设施安全局(CISA)、联邦调查局(FBI)和美国国防部网络犯罪中心(DC3)。联署方涵盖了“五眼联盟”的全部情报与网络安全机构——澳大利亚信号局的网络安全中心、加拿大的通信安全局网络安全中心、新西兰国家网络安全中心、英国国家网络安全中心,以及来自捷克、丹麦、爱沙尼亚、芬兰、法国、意大利、波兰、瑞典八个欧洲国家的对应机关。
具体来说,联署名单还包括:捷克国家网络与信息安全局、丹麦国防情报局、爱沙尼亚外国情报局与信息系统局、芬兰国防情报局与安全和情报局、法国国家网络安全局、意大利对外情报与安全局及内部情报与安全局、波兰军事反情报局,以及瑞典国家网络安全中心。这是近年来针对俄罗斯网络威胁发起的联署国家最多、机构覆盖面最广的一次联合公告行动。
英国国家网络安全中心国家韧性主任乔纳森·埃里森在配套声明中表示:“NCSC与国际伙伴一再揭露俄罗斯网络行为者的先进工具和协同行动,他们持续寻求利用任何可发现的漏洞。”他还特别呼吁关键基础设施机构“立即采取这些建议措施,从而降低被攻破的风险”。
二、攻击主体:FSB第16中心及其多重身份
联合公告将攻击明确归因于俄罗斯联邦安全局(FSB)第16中心。网络安全行业为该组织追踪了多个名称,联合公告的附录表专门列出六种最常见的行业命名:Berserk Bear、Energetic Bear、Crouching Yeti、Dragonfly、Ghost Blizzard和Static Tundra。公告同时注明,各安全公司追踪和归因方法不同,行业命名与官方归因并非严格的逐一对应关系。
此次公告并非对该组织的首次警示。早在2025年8月,FBI已发布公告,揭露同一组织自2021年11月以来持续利用思科IOS和IOS XE软件Smart Install功能的关键漏洞(CVE-2018-0171)对关键基础设施进行渗透。更早的追溯显示,该组织的攻击活动已持续十年以上。联合公告此次进一步披露,除CVE-2018-0171外,该组织还曾利用CVE-2008-4128等已知漏洞——后者仅影响已停产的思科设备,显示攻击者对老旧且缺乏维护的网络资产同样保持高度兴趣。
三、攻击手法:从SNMP弱口令到配置文件窃取
联合公告以大量技术细节还原了FSB第16中心的核心攻击路径。攻击者首先通过代理服务器,扫描互联网上启用了SNMP协议且接受默认或常见社区字符串(community strings)作为认证凭据的IP地址段。锁定目标后,攻击者从伪造的IP地址向这些设备发送SNMP Set-Request指令,其中包含诱导设备执行敏感操作的对象标识符(OID)。具体而言,攻击者指令设备将自身的配置文件复制为“config.bkp”或“output.txt”,随后通过简单文件传输协议(TFTP)将文件传输至攻击者控制的虚拟专用服务器或被攻破的FTP服务器,从而实现对设备配置数据的批量窃取。
除SNMP扫描这一主要手法外,公告指出攻击者还偶尔利用思科Smart Install功能的缺陷和网页门户漏洞获取网络设备控制权。公告特别列举了两个被重点监控的OID:1.3.6.1.4.1.9.9.96.1.1(思科配置复制指令)以及1.3.6.1.4.1.9.9.96.1.1.1.1.5(配置复制服务器地址,其值可显示配置文件的流向)。
在披露FSB第16中心手法的同时,公告还指出,这些战术、技术和程序(TTP)与其他恶意网络行为者——如“x台风”——存在明显重叠,相关缓解措施可同时应对多源威胁。
四、目标行业与现实危害
公告明确指出,面临最高风险的行业包括通信、国防工业基础、能源、金融服务、政府服务与设施(尤其是州和地方政府层面)、医疗保健与公共卫生。
威胁的现实危害已在近期得到验证。公告发布当日,英国政府宣布对24名涉及破坏性网络与混合行动的个人和实体实施制裁,其中包括为俄罗斯情报机构运营代理网络的网络犯罪分子。更为标志性的是,英国联合欧盟成员国,正式将2025年12月针对波兰能源网的攻击归因于FSB第16中心。英国方面明确指出,若该攻击成功,将导致约50万平民电力供应中断。这是国际社会首次以多国联合方式,将一起针对北约成员国关键能源基础设施的攻击事件正式归因于俄罗斯具体情报机构。
此外,这份联合公告也是在国际执法行动摧毁“FrostArmada”行动之后发布的。“FrostArmada”是由俄罗斯军事情报机构格鲁乌下属的APT28(亦被追踪为Fancy Bear和Forest Blizzard)实施的独立攻击行动。截至2025年12月,该行动已感染120个国家的约1.8万台MikroTik和TP-Link小型办公/家用路由器。攻击者通过篡改DNS设置,将认证流量重定向至攻击者控制的服务器,窃取Microsoft 365登录凭证和OAuth令牌。在法院授权下,FBI在美国司法部、波兰政府及多家网络安全公司的支持下,远程清除恶意DNS设置并强制设备连接合法域名解析服务器,完成了一次罕见的大规模反制行动。
五、缓解措施与行动路径
联合公告提出了一个体系化的防御方案,包括七项核心措施:
第一,在所有设备上禁用思科Smart Install功能。
第二,使用SNMPv3并配置“authPriv”至设备支持的最新加密标准,同时禁用SNMPv1和SNMPv2两个已过时的版本;若因特殊原因必须保留,则需将所有社区字符串由默认值更改为自定义值,并仅限只读权限。
第三,为网络设备的本地账户设置强、唯一的密码,思科设备应使用哈希类型8存储用户凭证,避免使用类型0、4、7这些不安全或明文存储的方式;同时监控不符合组织命名规范的异常凭证。
第四,使用管理信息库(MIB)允许列表监控并限制对SNMP对象标识符的访问,编写入侵检测系统规则监测传入的SNMP Set-Request指令。
第五,通过访问控制列表限制管理协议,仅允许来自管理设备的连接,优先使用带外管理网络。
第六,在边缘防火墙上阻断外部对UDP端口69(TFTP)、TCP端口4786(SMI)、UDP端口161和162(SNMP)以及TCP/UDP端口10161和10162(SNMPv3)的通信,除非任务必需且配以严格监控。
第七,更新网络设备软件与固件镜像,淘汰已停产设备,并使用攻击面管理服务识别和保护面向互联网的脆弱资产。
在机构支持层面,公告建议美国联邦及地方政府和关键基础设施组织注册CISA的免费网络卫生服务,国防工业基础组织注册NSA的国防工业基础网络安全服务。英国NCSC则建议机构获取Cyber Essentials认证并运用更新的网络评估框架进行自我评估。两国均提供了专题性网络基础设施安全指南的链接索引。
参考文献
- Sergiu Gatlan, “US and allies warn of Russian critical infrastructure attacks,” BleepingComputer, July 13, 2026.
- UK National Cyber Security Centre, “UK and Allies urge critical sectors to improve defences against Russian intelligence targeting,” July 2026.
- NSA, CISA, FBI, DC3 et al., “Improve Router Hygiene to Protect Against Russian State-Sponsored Targeting,” Joint Cybersecurity Advisory, July 2026.
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:网空闲话plus 网空闲话 网空闲话《美英等13国19机构联合点名俄FSB:全球关键基础设施的路由器暗战警报拉响》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论