Beveiligingsonderzoekers en overheidsinstanties hebben een enorme, langlopende cyberaanvalcampagne ontdekt waarbij duizenden routers voor thuis en kleine bedrijven zijn gekaapt. De operatie, gekoppeld aan de door de Russische staat gesponsorde groep Fancy Bear (APT 28), was bedoeld om internetverkeer te onderscheppen en wachtwoorden en toegangstokens te stelen van nietsvermoedende gebruikers over de hele wereld.
De mechanismen van de aanval: hoe routers spyware worden
De hackers hadden zich niet rechtstreeks op individuele computers gericht; in plaats daarvan hebben ze het toegangspunt van het netwerk gecompromitteerd: de router. Door misbruik te maken van niet-gepatchte kwetsbaarheden in apparaten vervaardigd door MikroTik en TP-Link, kregen de aanvallers controle over de hardware zelf.
Nadat een router was gehackt, pasten de hackers de instellingen aan om een omleiding in ‘man-in-the-middle’-stijl uit te voeren. Dit proces werkt als volgt:
1. Verkeersomleiding: De legitieme internetverzoeken van het slachtoffer worden heimelijk doorgestuurd via de infrastructuur die wordt beheerd door de hackers.
2. Spoofing: Gebruikers worden doorverwezen naar valse versies van legitieme websites (zoals e-mailproviders of bankportals).
3. Diefstal van inloggegevens: Wanneer gebruikers hun inloggegevens invoeren, onderscheppen de hackers hun wachtwoorden en sessietokens.
Waarom dit belangrijk is: Door sessietokens te stelen, kunnen hackers tweefactorauthenticatie (2FA) omzeilen. Hierdoor kunnen ze actieve online accounts kapen zonder ooit de secundaire beveiligingscode van het slachtoffer nodig te hebben, waardoor een van de meest voorkomende moderne verdedigingen ineffectief wordt.
Een mondiale schaal: van huishoudens tot overheidsinstanties
De omvang van de operatie is enorm en wordt gekenmerkt door wat deskundigen een ‘opportunistische’ aanpak noemen. In plaats van zich vanaf het begin op specifieke personen te richten, werpen de hackers een breed net uit om zoveel mogelijk apparaten te infecteren, en filteren ze later door de gegevens om waardevolle doelwitten te vinden.
Gegevens van verschillende onderzoeksinstanties benadrukken de omvang van de infectie:
– Black Lotus Labs (Lumen): Minstens 18.000 slachtoffers geïdentificeerd in ongeveer 120 landen, waaronder wetshandhavingsinstanties, overheidsdiensten en e-mailproviders in Noord-Afrika, Midden-Amerika en Zuidoost-Azië.
– Microsoft: Gerapporteerd dat meer dan 200 getroffen organisaties en 5.000 consumentenapparaten zijn geïdentificeerd, waaronder ten minste drie overheidsinstanties in Afrika.
De acteurs achter de campagne
De groep die als dader wordt geïdentificeerd is Fancy Bear, ook bekend als APT 28. Algemeen wordt aangenomen dat deze groep banden heeft met de Russische militaire inlichtingendienst, de GRU.
Fancy Bear heeft een gedocumenteerde geschiedenis van spionage en ontwrichtende operaties met hoge inzet, met name:
De inbreuk in 2016 op het Democratic National Committee (DNC) in de Verenigde Staten.
* De destructieve hack uit 2022 * gericht op de satellietprovider Viasat.
Tegenmaatregelen en verstoring
Als reactie op de campagne heeft een mondiale coalitie, waaronder de FBI en Lumen, stappen ondernomen om de infrastructuur van de hackers te ontwrichten. Deze inspanning omvatte onder meer het offline halen van een grootschalig botnet en het ontwrichten van verschillende domeinen die werden gebruikt om de aanvallen te faciliteren.
Het voornaamste uitgangspunt voor gebruikers is het cruciale belang van hardwareonderhoud. Omdat de aanvallers afhankelijk waren van verouderde software en niet-gepatchte kwetsbaarheden, bleven veel van deze apparaten jarenlang kwetsbaar zonder medeweten van de eigenaren.
Conclusie: Deze campagne laat zien hoe aanvallers zich steeds meer richten op de netwerkinfrastructuur in plaats van op eindgebruikersapparaten om moderne beveiligingslagen zoals 2FA te omzeilen. Het up-to-date houden van de firmware op alle met internet verbonden hardware blijft een essentiële verdediging tegen dergelijke geavanceerde, door de staat gesponsorde bedreigingen.
