深夜,一家能源公司的网络监控屏突然弹出一条告警:一台藏在角落、早已无人维护的老旧路由器,正稀里糊涂地向一个陌生 IP 地址发送整份配置文件。管理员手忙脚乱登录设备,发现读写权限早已被一个名叫“public”的默认团体名远程接管——这扇门,十多年来就没真正锁上过。而屏幕那头的闯入者,并不是什么毛头黑客,而是与俄罗斯联邦安全局中心16有关联的国家级攻击团队。

本月,美国国家安全局、网络安全和基础设施安全局、联邦调查局联合多国网络安全机构发布了一份措辞直白的公告,直指这帮俄罗斯政府支持的黑客至今仍在沿用一套简单到近乎笨拙的入侵套路:扫描整个互联网,专门锁定那些开启弱验证简单网络管理协议(SNMP)且面向公网暴露的路由器与交换机。能源、医疗、政府网络被列为头号风险区,原因是它们内部总躺着几台“反正还能用”的骨灰级网络设备。

打开网易新闻 查看精彩图片

公告撕开了一个让人既无语又无奈的真相:关键基础设施的防线,往往不是因为什么零日漏洞或者好莱坞式的炫技攻击被击穿,而是因为一扇十年没换过锁的后门被大大咧咧地推开了。从视角来看,这不是一场新的攻击潮,而是一场持续十多年的僵局——只要粗心管理员还在,攻击者就永远有路可走。

第一个窟窿:SNMP 老掉牙的“万能口令”

黑客扫描全球地址空间时,重点寻找那些还开着 SNMPv1 或 v2c 协议的设备。这两个骨灰级协议在设计时几乎没考虑过安全,设备之间靠一段明文“团体字符串”互相验明正身,而厂商出厂时往往预置了 public(只读)和 private(读写)这么两个全世界都知道的字串。很多单位上线设备后五年十年没改过,等于把自家网络大门的钥匙直接挂在门把手上。

攻击者一旦用这些默认或弱口令字符串完成认证,就可以大摇大摆地给路由器发送“复制配置文件并发送到我指定服务器”的指令。整个过程不需要漏洞利用,更不需要植入恶意代码,只靠一个标准的 SNMP 管理请求就能把整台设备的配置搬走。用一句大实话讲:不是黑客技术多高,是有人在请客。

第二个口子:思科智能安装成了提权捷径

有些攻击路径甚至比 SNMP 弱口令还直白。公告特意点名了思科设备上一个名叫“智能安装”(Smart Install)的功能,原本是用来“零接触”批量部署新交换机的便利工具,但很多客户部署完之后就忘了关。这个功能一旦在面向公网的接口上启用,无需任何身份验证,任何远程主机都可以要求设备下发配置文件,甚至修改操作系统镜像。

俄罗斯黑客团队没有放过这个后门。他们结合一群早已公开的思科已知漏洞,把智能安装当作跳板,一路摸进内网。这套组合拳的杀伤力在于,它压根不需要绕什么多层防火墙——只要入口设备本身没做访问控制,攻击者就能正大光明地从外网拿到管理级权限。这就像把机房钥匙放在门垫下面,还贴了张纸条写着“请取用”。

拿到路由器后,他们真正在找什么

很多人会下意识以为,拿下路由器下一步就是搞破坏:断网、篡改流量、发动拒绝服务攻击。但这份公告明确指出,俄罗斯这个黑客小组的目标根本不是立即制造混乱,而是“收集访问通道”。路由器的配置文件在他们眼里是一张宝藏地图:里面刻着整个网络的拓扑结构、各网段的接口描述、访问控制列表、相邻设备信息,更致命的是经常还存着明文或弱加密的管理凭据。

有了这些东西,攻击者就像拿到了整个大楼的消防疏散图,知道哪扇门通往核心服务器区。他们可以安静地潜伏数月甚至数年,逐步向更关键的资产横向移动,等到俄罗斯政府战略优先级发生变化的那一刻,才把这些预留好的入口转化成真正的武器。换句话说,路由器只是第一块被撬开的砖,真正值钱的东西全藏在后面那堵墙里。

这种“不求一时之快”的长期视角,恰恰让这一类入侵格外危险。一次就偷完所有数据容易被察觉,而默默收集凭据和网络地图可以支持多次不同目的的后续行动,从情报收集到断电破坏都落在这个口袋里。

关门的三条笨办法,却总被一拖再拖

公告不厌其烦地反复列出几条连实习生都懂的安全措施,甚至读起来像一份来自 2005 年的网络管理员检查清单:把那些已经停止接收安全更新、厂商不再签发固件的老旧路由器直接换掉;能升级的立即刷到最新稳定版固件;明确关闭所有不用的思科智能安装功能;同时将 SNMPv1 和 v2c 彻底迁移到支持强身份认证和加密的 SNMPv3。

听起来毫无新意,但现实是,这些工作要么被排到永远轮不到的下一个维护窗口,要么因为“改配置怕影响现有业务”而无限搁置。公告刻意把“现在就查”四个字放在醒目位置,建议所有组织从外网视角扫描一遍自己全部的边界网络设备,优先处理那些连补丁都接不到的“僵尸路由器”。

除此之外,强密码和最小权限原则再次被拉到聚光灯下:更换所有默认团体字符串,将管理协议访问权仅放行给受信任的管理网段,不再让任何公网 IP直接触碰 SNMP 或 SSH 管理口。同时,监控异常请求,尤其是来自陌生 IP 的大量 SNMP 读操作,以及本地管理员账户在非工作时间的登录行为。

都说高级持续性威胁最怕的就是拔网线,但这个故事提醒我们,真正让国家级黑客团队省下定制武器预算的,恰恰是全世界网络管理员们共同犯下的拖延症。当一个漏洞能稳定收割十年,攻击者自然不必急着去烧脑发现下一个。这份联合公告字里行间透着一种毫不掩饰的无奈:只要你把那台忘了拔电的老路由从墙角翻出来处理掉,这帮黑客可能连动手的机会都没有。