Un grup de hackeri susținuți de guvernul rus au deturnat mii de routere destinate uzului casnic și afacerilor mici din întreaga lume, ca parte a unei campanii continue care viza redirecționarea traficului de internet al victimelor pentru a le fura parolele și tokenurile de acces, au avertizat marți cercetătorii în securitate și autoritățile guvernamentale.
Aceasta este cea mai recentă tactică utilizată de grupul de hackeri rus cu tradiție, cunoscut sub numele de Fancy Bear sau APT28, recunoscut pentru atacurile sale de mare profil și operațiunile de spionaj, inclusiv breșa din Comitetul Național Democrat din 2016 și atacul distructiv care a afectat furnizorul de satelit Viasat în 2022. Fancy Bear este larg considerat a face parte din agenția de informații militare a Rusiei, GRU.
Grupul de hackeri a vizat routere neactualizate fabricate de MicroTik și TP-Link, exploatând vulnerabilități deja dezvăluite public, conform unității de securitate cibernetică a guvernului britanic, NCSC, și diviziei de cercetare Black Lotus Labs din cadrul companiei Lumen, care au publicat noi detalii despre această campanie marți.
Conform cercetătorilor, hackerii au reușit să spioneze un număr mare de persoane pe parcursul mai multor ani, compromițând routerele acestora, dintre care multe folosesc software învechit, lăsându-le vulnerabile la atacuri la distanță, fără ca proprietarii să aibă cunoștință de acest lucru.
NCSC a declarat că aceste operațiuni sunt „probabil de natură oportunistă, actorul aruncând o plasă largă pentru a ajunge la cât mai multe potențiale victime, înainte de a se concentra pe țintele de interes pentru intelligence pe măsură ce atacul se dezvoltă."
Conform cercetătorilor și recomandărilor guvernamentale, hackerii ruși au spart routerele pentru a modifica setările dispozitivelor, astfel încât cererile de internet ale victimelor să fie transmise pe ascuns către infrastructura operată de hackeri. Acest lucru le permite hackerilor să redirecționeze victimele către site-uri web false sub controlul lor, apoi să fure parole și tokenuri care le permit să se conecteze la conturile online ale victimelor fără a avea nevoie de codurile lor de autentificare cu doi factori.
Black Lotus Labs a declarat că Fancy Bear a compromis cel puțin 18.000 de victime în aproximativ 120 de țări, inclusiv departamente guvernamentale, agenții de aplicare a legii și furnizori de email din Africa de Nord, America Centrală și Asia de Sud-Est.
Microsoft, care a publicat de asemenea detalii despre campanie marți, a declarat într-o postare pe blog că cercetătorii săi au identificat peste 200 de organizații și 5.000 de dispozitive de consum afectate de aceste operațiuni de hacking, inclusiv cel puțin trei organizații guvernamentale din Africa.
FBI-ul este așteptat să anunțe dezafectarea mai multor domenii folosite în această campanie de către hackeri. Lumen a declarat că a făcut parte dintr-o coaliție, care a inclus FBI, care a perturbat botnetul și l-a scos din funcțiune. Un purtător de cuvânt al FBI nu a răspuns la solicitările de comentarii înainte de publicare.
APT28, cunoscut și sub numele de Fancy Bear, Strontium sau Sofacy, este una dintre cele mai active și prolifice grupări de hacking sponsorizate de stat, operând de peste un deceniu. Gruparea a fost responsabilă pentru numeroase atacuri de înaltă profil împotriva instituțiilor guvernamentale, organizațiilor militare și entităților diplomatice din întreaga lume.
Operațiunea recentă descrisă de cercetători reprezintă o evoluție semnificativă în metodele folosite de grupare. În loc să vizeze direct sistemele informatice ale organizațiilor, hackerii au ales să compromită dispozitivele de rețea de la margine, cum ar fi routerele, care sunt adesea neglijate din punct de vedere al securității și rareori primesc actualizări de firmware.
Această abordare prezintă mai multe avantaje pentru atacatori. În primul rând, routerele casnice și cele destinate întreprinderilor mici sunt de obicei mai ușor de compromis, deoarece mulți utilizatori nu își actualizează firmware-ul și nu schimbă parolele implicite. În al doilea rând, compromiterea routerului permite atacatorilor să monitorizeze tot traficul de internet care trece prin respectivul dispozitiv, oferindu-le acces la o gamă largă de date sensibile.
Mai mult, prin redirecționarea traficului către servere controlate de ei, hackerii pot efectua atacuri de tip „man-in-the-middle", în care interceptează comunicațiile dintre utilizator și site-urile web legitime. Acest lucru le permite nu doar să fure credențiale de autentificare, ci și săcaptureze tokenuri de sesiune, care pot fi folosite ulterior pentru a accesa conturile victimelor fără a mai avea nevoie de parole sau autentificare în doi factori.
Cercetătorii au observat că gruparea a folosit vulnerabilități cunoscute în routerele MicroTik și TP-Link, care fuseseră deja remediate prin actualizări de securitate. Totuși, multe dintre aceste dispozitive nu au fost actualizate de către proprietarii lor, rămânând vulnerabile la atac.
Această campanie subliniază importanța critică a menținerii routerelor și a altor dispozitive de rețea actualizate cu cele mai recente patch-uri de securitate. De asemenea, evidențiază riscurile asociate cu utilizarea dispozitivelor IoT și a echipamentelor de rețea care nu beneficiază de suport de securitate pe termen lung.
Autoritățile și cercetătorii în securitate au recomandat utilizatorilor să își verifice routerele pentru semne de compromis, să actualizeze firmware-ul la cele mai recente versiuni disponibile, să schimbe parolele implicite și să activeze, dacă este posibil, funcțiile de securitate avansate precum firewall-urile încorporate.
De asemenea, este recomandabil ca utilizatorii să fie atenți la orice activitate neobișnuită pe conturile lor online și să raporteze imediat orice tentativă suspectă de conectare sau mesaje de phishing. Activarea autentificării cu doi factori rămâne o măsură esențială de protecție, chiar dacă, așa cum demonstrează această campanie, aceasta poate fi uneori ocolită prin metode sofisticate.
Operațiunea de dezafectare a botnetului, realizată de FBI și partenerii săi, reprezintă un pas important în perturbarea capacităților de hacking ale grupului APT28. Totuși, experții avertizează că astfel de grupări de hacking sponsorizate de state au resurse considerabile și vor continua să dezvolte noi metode și infrastructuri pentru a-și atinge obiectivele de spionaj și furt de date.
Hackeri ai guvernului rus au spart mii de routere de acasă pentru a fura parole
