Zdjęcie: © Compare Fibre / Unsplash
Źródło: unsplash.com/photos/mhA3QOXME5M
Grupa znana jako Fancy Bear (APT28), powiązana z rosyjskim wywiadem GRU, przejęła tysiące domowych i małych biznesowych routerów, przekierowując ruch internetowy ofiar, by kraść hasła i tokeny uwierzytelniające. Sprawę opisali badacze Lumen Black Lotus Labs, Microsoft oraz brytyjska jednostka NCSC.
Hakerzy wykorzystywali wcześniej ujawnione luki w oprogramowaniu routerów MikroTik i TP‑Link, aby zmieniać ustawienia urządzeń i kierować żądania internetowe przez infrastrukturę kontrolowaną przez nich. Pozwalało to na przechwytywanie poświadczeń oraz tokenów sesji i logowanie się do kont ofiar bez użycia kodów 2FA.
Black Lotus Labs szacuje co najmniej 18 000 skompromitowanych ofiar w około 120 krajach, w tym instytucje rządowe, organy ścigania i dostawców poczty elektronicznej w regionach takich jak Afryka Północna, Ameryka Środkowa i Azja Południowo‑Wschodnia. Microsoft wskazał na ponad 200 organizacji i ponad 5 000 urządzeń konsumenckich dotkniętych operacją.
NCSC oceniło działania jako prawdopodobnie oportunistyczne: aktor rozrzucał sieć szeroko, a następnie zawężał zainteresowanie do konkretnych celów wywiadowczych. Technika umożliwiała przekierowywanie użytkowników do podrobionych stron kontrolowanych przez napastników i kradzież tokenów dostępowych.
Organy bezpieczeństwa i firmy badawcze wydały komunikaty ostrzegające przed konsekwencjami nieaktualnego oprogramowania routerów. Akcje powstrzymujące przez Lumen i partnerskie służby doprowadziły do wyłączenia części infrastruktury wykorzystywanej w kampanii; FBI planowało ogłoszenie przejęcia domen używanych przez napastników.
Sprawa podkreśla ryzyko wynikające z przestarzałych urządzeń sieciowych w domach i małych firmach oraz skalę, na jaką państwowe grupy cyberwywiadowcze mogą prowadzić operacje szpiegowskie, wykorzystując luki w popularnym sprzęcie.
Brak komentarzy. Bądź pierwszy!