Odborníci na kybernetickou bezpečnost a vládní agentury odhalili masivní a dlouhotrvající kampaň kybernetických útoků, které ovládly tisíce routerů v domácnostech a malých firmách. Operace spojená s ruskou státem podporovanou skupinou Fancy Bear (APT 28) byla zaměřena na zachycení internetového provozu a krádež hesel a přístupových tokenů od nic netušících uživatelů z celého světa.
Mechanika útoku: jak se routery mění ve spyware
Hackeři neútočili přímo na počítače uživatelů; Místo toho hackli vstupní bod do sítě – router. Pomocí neopravených zranitelností v zařízeních vyráběných MikroTik a TP-Link získali útočníci kontrolu nad samotným zařízením.
Po kompromitaci routeru hackeři změnili jeho nastavení, aby implementovali útok typu man-in-the-middle. Proces vypadá takto:
1. Přesměrování provozu: Legitimní internetové požadavky oběti jsou tajně směrovány přes infrastrukturu kontrolovanou hackery.
2. Spoofing (spoofing): Uživatelé jsou přesměrováni na falešné verze skutečných stránek (například e-mailové služby nebo bankovní portály).
3. Krádež pověření: Když uživatelé zadají svá přihlašovací jména a hesla, hackeři zachytí jejich hesla a tokeny relace.
Proč je to důležité: Ukradením tokenů relace mohou hackeři obejít dvoufaktorové ověřování (2FA). To jim umožňuje převzít aktivní online účty, aniž by měli přístup k sekundárnímu bezpečnostnímu kódu oběti, což činí jednu z nejběžnějších moderních bezpečnostních metod nepoužitelnou.
Globální měřítko: od jednotlivců po vládní agentury
Rozsah operace je obrovský a odborníci ji popisují jako „oportunistickou“. Místo toho, aby se hackeři nejprve zaměřovali na konkrétní jednotlivce, vrhli „širokou síť“, aby infikovali co nejvíce zařízení, a poté výsledná data filtrovali na cíle s vysokou hodnotou.
Údaje z různých výzkumných organizací zdůrazňují rozsah infekce:
– Black Lotus Labs (Lumen): Identifikováno nejméně 18 000 obětí v přibližně 120 zemích, včetně donucovacích orgánů, vládních agentur a poskytovatelů e-mailu v severní Africe, Střední Americe a jihovýchodní Asii.
– Microsoft: Oznámil, že identifikoval více než 200 organizací a 5 000 spotřebitelských zařízení zasažených útokem, včetně nejméně tří vládních subjektů v Africe.
Kdo stojí za touto kampaní?
Skupina identifikovaná jako pachatel je Fancy Bear, známá také jako APT 28. Předpokládá se, že skupina je úzce propojena s ruskou vojenskou rozvědkou, GRU.
Fancy Bear má zdokumentovanou historii provádění špičkových špionážních a destruktivních operací, z nichž nejpozoruhodnější jsou:
* Hacking of the Democratic National Committee (DNC) ve Spojených státech v roce 2016.
* ** Destruktivní hackerský útok** na satelitního poskytovatele Viasat v roce 2022.
Protiopatření a potlačení aktivity
V reakci na tuto kampaň podnikla globální koalice zahrnující FBI a Lumen kroky k narušení infrastruktury hackerů. Tyto snahy zahrnovaly odstranění rozsáhlého botnetu a zablokování několika domén používaných k provádění útoků.
Hlavním přínosem pro uživatele je kritický význam údržby zařízení. Protože útočníci spoléhali na zastaralý software a neopravená zranitelnost, mnoho z těchto zařízení zůstalo zranitelných po celá léta, aniž by o tom majitelé věděli.
Závěr: Tato kampaň ukazuje, že útočníci se stále častěji zaměřují spíše na síťovou infrastrukturu než na uživatelské koncové body, aby obešli moderní vrstvy zabezpečení, jako je 2FA. Pravidelná aktualizace firmwaru na všech zařízeních připojených k internetu zůstává zásadní obranou proti takovým pokročilým, vládou podporovaným hrozbám.
