Спецслужбы раскрыли, как китайские хакеры прячут атаки за чужими роутерами

Международные кибербезопасностные ведомства 23 апреля 2026 года выпустили совместное предупреждение о тактике, которую, по их оценке, применяют связанные с Китаем хакерские группы для сокрытия вредоносной активности. Британский Национальный центр кибербезопасности Великобритании заявил, что злоумышленники используют скрытые сети из скомпрометированных устройств, чтобы маскировать происхождение атак и затруднять их обнаружение. Речь идёт прежде всего о домашних и офисных маршрутизаторах, сетевых хранилищах, интернет-камерах, видеорегистраторах и другом оборудовании, подключённом к сети.

Как сообщил NCSC, новое предупреждение подготовлено совместно с отраслевыми партнёрами и 15 международными структурами из девяти стран. В публикации подчёркивается, что такую инфраструктуру, по оценке ведомств, использует большинство китайских хакерских групп для сокрытия вредоносной активности. Для этого злоумышленники направляют трафик через большие сети захваченных устройств, превращая бытовую и малую офисную технику в промежуточные узлы для киберопераций.

По данным BleepingComputer, совместное предупреждение подписали структуры из США, Великобритании, Австралии, Канады, Германии, Японии, Нидерландов, Новой Зеландии, Испании и Швеции. В материале отмечается, что хакеры всё чаще отходят от использования отдельно купленной инфраструктуры и переходят к масштабным прокси-сетям из ранее взломанных потребительских устройств, главным образом маршрутизаторов для дома и малого бизнеса, а также подключённых к интернету камер, видеорегистраторов и NAS-систем.

Дополнительные детали ранее приводили и американские ведомства. В опубликованном ранее совместном консультативном документе ФБР сообщалось, что связанные с КНР киберакторы компрометировали маршрутизаторы и устройства интернета вещей для создания ботнет-инфраструктуры, а по состоянию на июнь 2024 года такая сеть насчитывала более 260 тысяч устройств. Ведомства предупреждали, что подобные ресурсы позволяют скрывать истинный источник операций, усложнять атрибуцию и обеспечивать устойчивость вредоносной активности.

Нынешнее предупреждение вышло на фоне более жёстких оценок киберугроз со стороны Лондона. Как передавало агентство Reuters, глава NCSC Ричард Хорн за день до публикации нового предупреждения заявил, что Великобритании следует готовиться к росту числа кибератак, прямо или косвенно связанных с государствами, включая Китай, Иран и Россию. По его словам, центр продолжает в среднем обрабатывать около четырёх киберинцидентов национального значения в неделю.

В рекомендациях организациям советуют картировать и базово профилировать трафик на пограничных устройствах, особенно на VPN- и удалённых подключениях, следить за аномалиями, фильтровать известные индикаторы скрытых сетей и уделять повышенное внимание безопасности устройств на периферии сети. Отдельный акцент сделан на обновлении прошивок, ограничении открытого доступа к интерфейсам администрирования и более строгом контроле за нестандартной маршрутизацией трафика.

Коротко о главном

Появление таких предупреждений отражает более широкий сдвиг в тактике государственно связанных хакерских групп: вместо дорогой и заметной инфраструктуры они всё чаще используют массово уязвимые потребительские устройства, что удешевляет операции и снижает риск быстрого обнаружения. Если компании и госструктуры не усилят контроль за сетевой периферией, число скрытых вторжений, связанных с кибершпионажем и подготовкой к более масштабным атакам, вероятно, будет расти.