«Ростелеком» подал заявку в Минцифры на включение в реестр российского программного обеспечения системы «Леший коннект», которая позволит оператору массово управлять домашними роутерами и модемами абонентов. Об этом сообщает CNews со ссылкой на материалы заявки и представителя компании. По данным издания, к 2027 году под управление системы планируют перевести около 7 млн устройств.
Система работает по протоколу TR-069/CWMP и предназначена для удаленной диагностики, настройки услуг, обновления прошивок и мониторинга абонентского оборудования без участия пользователей. В «Ростелекоме» утверждают, что логин и пароль от роутера провайдеру не нужны: устройства сами связываются с системой, после чего она получает предусмотренный протоколом набор возможностей.
По данным CNews, в 2026 году «Ростелеком» планирует переключить на «Леший коннект» до 50% абонентского оборудования. Речь идет о роутерах и модемах, выданных клиентам компании в b2c-сегменте, в том числе о новых роутерах шестого поколения производства российской компании «Электра».
«В славянской мифологии Леший представлялся хозяином леса, который следил за порядком. Если провести аналогию, то лес должен сохранять устойчивость и способность к восстановлению, — так и клиентские устройства нуждаются в регулярном обновлении, обслуживании и защите от угроз», — объяснили в «Ростелекоме» идею и выбор названия системы.
В «Ростелекоме» называют систему заменой иностранного решения AxirosGmB немецкой Axiros, которая ушла из России. Компания также не исключает, что в будущем «Леший коннект» смогут использовать другие операторы.
Эксперт по информационной безопасности, CEO компании Malfors Артём Тамоян в комментарии The Insider отметил, что «Леший коннект», судя по описанию, не дает «Ростелекому» принципиально нового доступа к роутерам, а заменяет западное ПО Axiros, через которое оператор и раньше мог управлять выданными абонентам устройствами. При этом сам такой доступ, по словам эксперта, дает провайдеру широкие возможности — от изменения DNS и Wi-Fi до обновления прошивки — и несет риски:
«Насколько я понимаю, „Леший коннект“ от „Ростелекома“ — это их собственная система для замены западного ПО Axiros. Работать она должна с теми устройствами „Ростелекома“, которые поддерживают ее и ранее могли управляться по тому же протоколу, но через Axiros. То есть с точки зрения удаленного управления устройствами принципиально ничего не меняется. Меняется то, каким именно ПО „Ростелеком“ управляет выданными устройствами. Это стандартная практика — как в России, так и на Западе — для устройств, которые интернет-провайдер выдает клиентам. Если клиент не меняет настройки самостоятельно, провайдер обычно имеет широкий административный доступ к устройству — это нужно для удаленной настройки, диагностики проблем, обновлений прошивки и так далее.
TR-069/CWMP — это стандартный, довольно старый протокол, но возможности управления зависят от его реализации в прошивке клиентского устройства и в системе управления провайдера. В целом можно считать, что провайдер имеет широкий административный доступ к устройству, которое выдает, то есть ко многим настройкам: роутингу, Wi-Fi, DNS, DHCP, файрволлу, прошивке и так далее.
Риски есть. Контроль над роутером дает намного больше возможностей для злоупотребления: с помощью этого можно создавать условия для доступа к локальной сети, DNS-подмены, попыток MITM-атак, спуфинга и так далее.
Кроме того, сама по себе возможность такого удаленного подключения — это вектор атаки для злоумышленников. Сырая или плохая реализация TR-069, ACS-системы или прошивки может содержать уязвимости, которые позволят не только провайдеру, но и киберпреступникам получить доступ к роутеру.
Если роутер или терминал выдал провайдер, то с этим обычно мало что можно сделать. Такое оборудование изначально рассчитано на удаленное управление: провайдер может настраивать его, обновлять прошивку, диагностировать проблемы и менять часть параметров. Если пользователь хочет больше контроля над своей домашней сетью, лучший вариант — использовать собственный роутер. На собственном роутере стоит проверить, включен ли TR-069/CWMP или другое удаленное управление провайдера, и отключить его. И конечно, нужно будет самостоятельно обновлять прошивку, следить за настройками безопасности, диагностировать и исправлять проблемы».
Роутеры остаются одной из главных целей для кибершпионажа. В апреле британский Национальный центр кибербезопасности и ведомства еще девяти стран предупредили, что связанные с Китаем хакерские группировки взламывают домашние роутеры, принтеры и веб-камеры по всему миру и превращают их в скрытые сети для разведки и атак. Западные спецслужбы отдельно связывали такую тактику с группировкой Volt Typhoon, которую обвиняли в проникновении в сети критической инфраструктуры США. Российская военная разведка, как сообщал NCSC, применяла похожий подход: связанная с ГРУ группировка APT28 взламывала роутеры MikroTik и TP-Link для кражи паролей от почты и других сервисов.
