Die gemeinsame Warnung knüpft an eine FBI-Mitteilung aus dem vergangenen Jahr zur selben Bedrohung an. Darin beschreiben die Behörden detailliert die Vorgehensweisen von FSB-Zentrum-16-Akteuren, die unter anderem als Energetic Bear, Crouching Yeti, Ghost Blizzard (Turla) und Static Tundra verfolgt werden.

Laut der Mitteilung suchen die Angreifer vor allem nach offen erreichbaren SNMP-Diensten, die Standardkennwörter ab Werk oder leicht zu erratende Passwörter akzeptieren. Anschließend veranlassen sie kompromittierte Geräte, ihre Konfigurationsdateien per Trivial FTP (TFTP) oder FTP an von den Angreifern kontrollierte Server zu exportieren.

Die Behörden weisen darauf hin, dass sich viele dieser Techniken mit Methoden anderer APT-Akteure wie Salt Typhoon überschneiden. Hauptursachen für erfolgreiche Kompromittierungen seien mangelhafte Konfigurationen und schwache grundlegende Sicherheitsmaßnahmen. Zusätzlich nutzen die Angreifer laut den Behörden bekannte Cisco-Schwachstellen aus und missbrauchen Cisco Smart Install (SMI) für den Erstzugang.

Zur Risikominderung sollten Betreiber kritischer Infrastrukturen Cisco Smart Install deaktivieren und SNMPv1 durch SNMPv2 oder SNMPv3 ersetzen, das stärkere Authentifizierung und Verschlüsselung unterstützt. Die beteiligten Behörden fordern zudem, Standardpasswörter auf allen Netzwerkgeräten durch starke, individuelle Kennwörter zu ersetzen, SNMP-Set-Anfragen und ungewöhnliche Aktivitäten lokaler Konten zu überwachen, Zugriffskontrolllisten einzusetzen und nicht benötigten TFTP-, SNMP- und Smart-Install-Verkehr an den Netzgrenzen zu blockieren.

Die NSA bezeichnete die bösartigen Aktivitäten in ihren ergänzenden Empfehlungen als andauerndes Problem. „Die NSA und die mitzeichnenden Behörden betonen die Bedeutung grundlegender Router-Hygiene als Mittel für Unternehmen und Organisationen, Cyberakteure auf staatlicher Ebene abzuschrecken“, erklärte die Behörde.

Zeitgleich gaben das Vereinigte Königreich und die Europäische Union Sanktionen gegen 24 russische Personen und Organisationen bekannt. Begründet wurden sie mit der Mitwirkung an der Steuerung von Cyberangriffen in Europa und im Vereinigten Königreich, mit Wahleinmischung und mit Desinformationskampagnen rund um die Ukraine. Auf der Sanktionsliste stehen auch hochrangige Vertreter des russischen Militärgeheimdienstes GRU, kriminelle Stellvertreter und Organisationen, denen Unterstützung russischer Cyberoperationen und Einflusskampagnen vorgeworfen wird.

Britische und EU-Vertreter schrieben außerdem einen gescheiterten Angriff auf das polnische Energienetz im Januar formell dem FSB-Zentrum 16 zu. In ihrer Erklärung zu den Sanktionen nannten sie den Vorfall „einen rücksichtslosen Angriff“, der mitten im Winter 500.000 polnische Bürger ohne Strom hätte lassen können. Zugleich erklärten Vertreter des Vereinigten Königreichs und der EU, dies sei „ein weiteres Beispiel für die verantwortungslosen Versuche des russischen Staates, in ganz Europa Chaos zu säen“.

Nach Angaben des Vereinigten Königreichs und der EU ist es das erste Mal, dass beide Seiten gemeinsam russische Staatsakteure und deren Stellvertreter wegen Cyberangriffen und anderer bösartiger Aktivitäten in der Region sanktioniert haben. Mit den neuen Maßnahmen steigt die Zahl der vom Vereinigten Königreich im Zusammenhang mit Russlands Krieg gegen die Ukraine sanktionierten Personen und Organisationen auf 3.400.

John Strand, Inhaber von Black Hills Information Security, erklärte dazu, die Warnung zeige erneut, dass staatliche Akteure weiterhin mit Problemen Erfolg haben, die Organisationen seit Jahren kennen und hätten beheben sollen. Taktiken wie der Missbrauch von SNMP oder die Nutzung von Cisco Smart Install seien Sicherheitsteams seit mehr als einem Jahrzehnt bekannt. Statt auf die jeweils neueste Exploit-Methode zu blicken, basierten solche Kampagnen oft auf Schwachstellen und unsicheren Konfigurationen, die seit Jahren öffentlich bekannt seien. Angreifer seien erfolgreich, „weil noch immer zu viele Organisationen mit den Grundlagen der Computersicherheit kämpfen“.