Специалисты компании «Информзащита» зафиксировали увеличение количества атак на маршрутизаторы на 25% за первые десять месяцев 2025 года в сравнении с тем же промежутком времени годом ранее. Рост числа инцидентов аналитики связывают с комплексом факторов: использованием устаревшего программного обеспечения, более широким внедрением систем удаленного администрирования и активным подключением устройств интернета вещей к корпоративным сетям. Преступники всё чаще выбирают маршрутизаторы в качестве стартовой точки для проникновения, а также как платформу для скрытого контроля и организации DDoS-нападений, что повышает их привлекательность для киберзлоумышленников.
Наиболее уязвимыми оказываются маршрутизаторы, задействованные в государственных и муниципальных учреждениях, корпоративных сетях предприятий сферы услуг и на промышленных объектах. Подобная избирательность объясняется не только экономической выгодой от атаки, но и намерением злоумышленников дестабилизировать работу важнейших систем. Для организаций такие атаки опасны возможностью утечки конфиденциальных данных, вовлечения оборудования в бот-сети или его использования для маскировки противоправной деятельности. Последствия включают в себя ущерб репутации и финансам, нарушения в работе IT-систем, длительное скрытое присутствие злоумышленников и замедленное реагирование служб безопасности.
«Маршрутизаторы представляют собой ключевые элементы сети, через которые злоумышленники способны проникать внутрь, проводить разведку и долгое время оставаться необнаруженными. Пренебрежение их защитой значительно повышает риск компрометации всей корпоративной инфраструктуры. Бизнесу крайне важно осознавать, что даже малозаметное уязвимое устройство способно стать отправной точкой для серьёзного нападения», – отметил руководитель направления мониторинга и реагирования IZ:SOC Сергей Сидорин.
Способы атак остаются довольно простыми, но при этом действенными. Большинство инцидентов связано с использованием давно известных уязвимостей в прошивках, для которых не выпускаются своевременные обновления; остальные атаки сочетают эксплуатацию сетевых слабостей и интеграцию IoT-устройств в распределённые сети для скрытых DDoS-операций или иных вредоносных действий. Эксперты обращают внимание на учащение кратковременных «разведывательных» атак, позволяющих злоумышленникам проверять защиту сети, находить её слабые звенья и оценивать скорость реакции фильтров, не активируя при этом стандартные системы обнаружения.
Рост числа атак на маршрутизаторы также коррелирует с развитием вторичного рынка данных. Результаты сканирования и информация об обнаруженных уязвимостях активно продаются на специализированных форумах и в Telegram-каналах, что снижает требуемый уровень навыков для проведения сложных нападений. Появление подобных рынков делает угрозу более масштабной, поскольку увеличивает количество потенциальных атакующих, которые могут действовать по уже готовым сценариям.
Для минимизации угроз, связанных с атаками на маршрутизаторы, эксперты «Информзащиты» советуют своевременно обновлять микропрограммное обеспечение и менять устаревшее оборудование. Следует сократить доступность сетевых служб и деактивировать неиспользуемые возможности удалённого управления, в том числе облачные платформы. Ключевое значение имеет внедрение систем отслеживания сетевого обмена данными и сертификатов, с акцентом на подозрительные подключения, самоподписанные TLS-сертификаты и отклонения в функционировании устройств. Корпоративным ИТ-подразделениям рекомендуется включать маршрутизаторы в плановые проверки защищённости, выполнять внутренние тестирования на проникновение и моделировать возможные атаки для обнаружения слабых мест до их эксплуатации злоумышленниками. Применение honeypot-ловушек и инструментов эмуляции уязвимых систем даёт возможность в реальном времени наблюдать за потенциально вредоносной активностью и выстраивать более эффективную оборонительную тактику.
