Routere uzate din locuințe și birouri mici au fost compromise în 120 de țări într-o operațiune de amploare coordonată de armata rusă. Această campanie cibernetică direcționează utilizatori neștiutori către site-uri care colectează parole și token-uri de autentificare, folosite ulterior în campanii de spionaj, conform cercetătorilor.
Cercetătorii de la Black Lotus Labs, parte a Lumen Technologies, estimează că între 18.000 și 40.000 de routere destinate consumatorilor, majoritatea produse de MikroTik și TP-Link și localizate în 120 de țări, au fost integrate în infrastructura APT28, un grup de amenințare avansată ce aparține agenției de informații militare a Rusiei, GRU. APT28, activ de cel puțin două decenii, este responsabil pentru numeroase atacuri cibernetice de profil înalt împotriva guvernelor de pe glob și este cunoscut și sub numele de Pawn Storm, Sofacy Group, Sednit, Tsar Team, Forest Blizzard și STRONTIUM.
Un număr redus de routere au fost utilizate ca proxy-uri pentru a se conecta la un număr mult mai mare de alte routere aparținând ministerelor de externe, agențiilor de aplicare a legii și agențiilor guvernamentale pe care APT28 dorea să le spioneze. Grupul a folosit controlul acestor routere pentru a modifica căutările DNS pentru anumite site-uri web, inclusiv, conform celor de la Microsoft, domenii pentru serviciul companiei 365.
„Reputați pentru utilizarea unor unelte de ultimă generație, cum ar fi modelul de limbaj mare (LLM) ‘LAMEHUG’, alături de tehnici consacrate și de lungă durată, Forest Blizzard își evoluează constant tactica pentru a rămâne înaintea apărătorilor,” au scris cercetătorii de la Black Lotus. „Campaniile lor anterioare și actuale subliniază atât sofisticarea tehnologică, cât și disponibilitatea lor de a reveni la metode clasice de atac chiar și după expunerea publică, accentuând riscul continuu pe care acest actor îl reprezintă pentru organizații la nivel mondial.”
Atacatorii au exploatat modele mai vechi de routere care nu au fost actualizate împotriva vulnerabilităților de securitate cunoscute. Apoi, au modificat setările DNS pentru domenii selectate și au folosit Protocolul de Configurare Dinamică a Gazdelor pentru a le propaga către stațiile de lucru conectate la routere. Când dispozitivele conectate accesau domeniile selectate, conexiunile lor erau proxiate prin servere rău intenționate înainte de a ajunge la destinația dorită.
Serverele intermediare – adversare utilizau certificate auto-semnate. Când utilizatorul final ignora avertismentele browserului, serverele capturau tot traficul care trecea prin ele. Printre altele, acestea colectau token-uri OAuth și alte acreditări stabilite după ce utilizatorii, fără să știe că conexiunile lor erau interceptate, completaseră autentificarea multifactorială.
Operațiunea a început în mai 2025 pe un număr limitat de dispozitive. Apoi, în august, Centrul Național de Securitate Cibernetică din Marea Britanie a emis o alertă care documenta o campanie de malware folosită de un grup de amenințare pentru a „intercepta și exfiltra credențialele și token-urile conturilor Microsoft Office.” A doua zi, grupul de amenințare și-a intensificat rapid deturnarea routerelor, o activitate pe care a continuat să o amplifice în lunile următoare.
atac cibernetic, routere compromise, Rusia, GRU, APT28, spionaj cibernetic, securitate cibernetică, MikroTik, TP-Link, DNS hijacking, Forest Blizzard, STRONTIUM, Pawn Storm, malware, interceptare date, authentificare multifactorială, token-uri OAuth, credențiale Microsoft, campanie de malware, vulnerabilități de securitate
Sursa: Ars Tehnica Technology
Poll: Ce măsură de securitate considerați că ar trebui să fie implementată pentru a proteja dispozitivele dumneavoastră de la atacuri cibernetice similare?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply