Hackeri ai guvernului rus au spart mii de routere casnice și de mici afaceri pentru a fura parole și acces la conturi internet

Un grup de hackeri ai guvernului rus a compromis mii de routere folosite în locuințe și în mici afaceri din întreaga lume, într-o campanie aflată în desfășurare, care urmărește redirecționarea traficului de internet al victimelor pentru a le fura parolele și tokenurile de acces, au avertizat marți cercetători în securitate cibernetică și autorități guvernamentale.

Aceasta este cea mai recentă tactică a grupului de hacking rus de lungă durată cunoscut sub numele de Fancy Bear, sau APT 28. Grupul este renumit pentru atacurile și operațiunile sale de spionaj de mare profil, inclusiv compromiterea Comitetului Național Democrat în 2016 și atacul distructiv care a lovit furnizorul de satelit Viasat în 2022. Fancy Bear este considerat pe scară largă ca făcând parte din agenția de informații militare a Rusiei, GRU.

Grupul de hackeri a vizat routere nepăciate produse de MicroTik și TP-Link, exploatând vulnerabilități dezvăluite anterior, potrivit unității de securitate cibernetică NCSC a guvernului britanic și diviziei de cercetare Black Lotus Labs a companiei Lumen, care au publicat marți noi detalii despre această campanie.

Conform cercetătorilor, hackerii au reușit, pe parcursul mai multor ani, să spioneze un număr mare de persoane prin compromiterea routerelor acestora. Multe dispozitive rulau software învechit, fapt ce le-a lăsat expuse la atacuri la distanță, fără ca proprietarii să își dea seama.

NCSC a precizat că aceste operațiuni sunt „probabil oportuniste prin natura lor, actorul aruncând o plasă largă pentru a ajunge la numeroase potențiale victime, înainte de a se concentra asupra țintelor de interes pentru informații, pe măsură ce atacul evoluează”.

Cercetările și avertizările oficiale arată că hackerii ruși au modificat setările routerelor compromise pentru ca solicitările de internet ale victimelor să fie redirecționate pe ascuns către infrastructura controlată de atacatori. Această tehnică le permite să trimită victimele către site-uri false aflate sub controlul lor și, astfel, să fure parole și tokenuri care le oferă acces la conturile online ale victimelor fără a mai fi nevoie de codurile de autentificare cu doi factori.

Black Lotus Labs a indicat că Fancy Bear a compromis cel puțin 18.000 de victime din aproximativ 120 de țări, printre acestea numărându-se departamente guvernamentale, agenții de aplicare a legii și furnizori de email din Africa de Nord, America Centrală și sud-estul Asiei.

Microsoft a prezentat, la rândul său, marți, detalii privind această campanie într-o postare pe blog, menționând că cercetătorii săi au identificat peste 200 de organizații și 5.000 de dispozitive de consum afectate de aceste operațiuni de hacking. Printre acestea se regăsesc și cel puțin trei organizații guvernamentale din Africa.

Biroul Federal de Investigații (FBI) este așteptat să anunțe dezmembrarea mai multor domenii folosite de hackeri în cadrul campaniei, iar Lumen a precizat că a făcut parte dintr-o coaliție, din care a făcut parte și FBI, ce a reușit să perturbe botnetul și să îl scoată offline.

Un purtător de cuvânt al FBI nu a răspuns solicitărilor de comentarii înainte de publicare.