Ruska hakerska skupina povezana s državnim strukturama kompromitirala je tisuće kućnih i poslovnih rutera diljem svijeta, upozorili su sigurnosni istraživači i državne agencije. Cilj višegodišnje operacije bio je preusmjeravanje internetskog prometa žrtava kako bi se došlo do njihovih lozinki i pristupnih tokena
Riječ je o skupini Fancy Bear, poznatoj i kao APT28, koja se povezuje s ruskom vojnom obavještajnom službom GRU. Ta je skupina već ranije bila povezana s nizom velikih kibernetičkih napada, uključujući proboj u sustav Demokratskog nacionalnog odbora u SAD-u 2016. godine te napad na satelitskog operatera Viasat 2022. godine, piše TechCrunch.
Prema podacima britanskog Nacionalnog centra za kibernetičku sigurnost (NCSC) i istraživačkog odjela Black Lotus Labs kompanije Lumen Technologies, napadači su iskorištavali ranije poznate sigurnosne propuste na ruterima proizvođača MikroTik i TP-Link. Posebno su bili ranjivi uređaji koji koriste zastarjele verzije softvera.
vezane vijesti
Istraživači navode da su hakeri preuzimali kontrolu nad uređajima bez znanja korisnika, a zatim mijenjali njihove postavke kako bi internetski promet potajno preusmjeravali na vlastitu infrastrukturu. Time su žrtve usmjeravane na lažne, ali uvjerljive web stranice, na kojima su napadači mogli prikupiti njihove pristupne podatke.
Takav pristup omogućio je zaobilaženje i dodatnih sigurnosnih mjera, uključujući dvofaktorsku autentifikaciju, jer su napadači dolazili do tokena koji im omogućuju izravan pristup korisničkim računima. Prema procjenama Black Lotus Labsa, kompromitirano je najmanje 18.000 uređaja u oko 120 zemalja, uključujući državne institucije, policijske agencije i pružatelje e-pošte na sjeveru Afrike, u Srednjoj Americi i jugoistočnoj Aziji.
Slične podatke iznio je i Microsoft, čiji su istraživači identificirali više od 200 organizacija i oko 5000 korisničkih uređaja pogođenih ovom kampanjom, među kojima su i najmanje tri državne institucije u Africi.
Američke vlasti u međuvremenu su poduzele mjere da bi ograničile djelovanje mreže zaraženih uređaja. FBI je sudjelovao u operaciji gašenja dijela infrastrukture koju su koristili hakeri dok je američko Ministarstvo pravosuđa, uz sudsko odobrenje, provelo akciju neutralizacije kompromitiranih rutera na teritoriju SAD-a.
Kako je priopćeno, FBI je razvio niz tehničkih naredbi kojima su prikupljeni dokazi, resetirane postavke zaraženih uređaja i spriječen ponovni pristup napadača. Stručnjaci upozoravaju da je riječ o široko postavljenoj, oportunističkoj kampanji u kojoj napadači najprije ciljaju velik broj potencijalnih žrtava, a zatim selektiraju one od većeg obavještajnog interesa.
