Eksperci ds. cyberbezpieczeństwa i agencje rządowe odkryły masową i długotrwałą kampanię cyberataków, która przejęła kontrolę nad tysiącami routerów w domach i małych firmach. Operacja, powiązana ze sponsorowaną przez państwo rosyjską grupą Fancy Bear (APT 28), miała na celu przechwytywanie ruchu internetowego oraz kradzież haseł i tokenów dostępu niczego niepodejrzewającym użytkownikom na całym świecie.
Mechanika ataku: jak routery zamieniają się w oprogramowanie szpiegujące
Hakerzy nie atakowali bezpośrednio komputerów użytkowników; Zamiast tego włamali się do punktu wejścia do sieci – routera. Wykorzystując niezałatane luki w urządzeniach firm MikroTik i TP-Link, atakujący przejęli kontrolę nad samym sprzętem.
Po złamaniu zabezpieczeń routera hakerzy zmienili jego ustawienia, aby przeprowadzić atak typu man-in-the-middle. Proces wygląda następująco:
1. Przekierowanie ruchu: Uzasadnione żądania internetowe ofiary są w tajemnicy kierowane przez infrastrukturę kontrolowaną przez hakerów.
2. Spoofing (spoofing): Użytkownicy są przekierowywani do fałszywych wersji prawdziwych stron (np. serwisów pocztowych czy portali bankowych).
3. Kradzież danych uwierzytelniających: Kiedy użytkownicy wprowadzają swoje loginy i hasła, hakerzy przechwytują ich hasła i tokeny sesji.
Dlaczego to ma znaczenie: Kradnąc tokeny sesji, hakerzy mogą ominąć uwierzytelnianie dwuskładnikowe (2FA). Pozwala im to przejąć aktywne konta internetowe nawet bez dostępu do dodatkowego kodu bezpieczeństwa ofiary, czyniąc jedną z najpopularniejszych nowoczesnych metod bezpieczeństwa bezużyteczną.
Skala globalna: od osób fizycznych po agencje rządowe
Skala operacji jest ogromna, a eksperci określają ją jako „oportunistyczną”. Zamiast początkowo atakować konkretne osoby, hakerzy założyli „szeroką sieć”, aby zainfekować jak najwięcej urządzeń, a następnie filtrowali uzyskane dane pod kątem celów o dużej wartości.
Dane różnych organizacji badawczych podkreślają zakres infekcji:
– Black Lotus Labs (Lumen): Zidentyfikowano co najmniej 18 000 ofiar w około 120 krajach, w tym organy ścigania, agencje rządowe i dostawcy usług e-mail w Afryce Północnej, Ameryce Środkowej i Azji Południowo-Wschodniej.
– Microsoft: poinformował, że zidentyfikował ponad 200 organizacji i 5000 urządzeń konsumenckich dotkniętych atakiem, w tym co najmniej trzy jednostki rządowe w Afryce.
Kto stoi za tą kampanią?
Grupą zidentyfikowaną jako sprawca jest Fancy Bear, znany również jako APT 28. Uważa się, że grupa ta jest ściśle powiązana z rosyjskim wywiadem wojskowym GRU.
Fancy Bear ma udokumentowaną historię prowadzenia zaawansowanych technologicznie operacji szpiegowskich i niszczycielskich, z których najbardziej godne uwagi to:
* Włamanie do Narodowego Komitetu Demokratów (DNC) w Stanach Zjednoczonych w 2016 r.
* Destrukcyjny atak hakerski na dostawcę satelitarnego Viasat w 2022 r.
Przeciwdziałanie i tłumienie działalności
W odpowiedzi na tę kampanię globalna koalicja obejmująca FBI i Lumen podjęła kroki mające na celu zakłócenie infrastruktury hakerów. Wysiłki te obejmowały zniszczenie botnetu na dużą skalę i zablokowanie kilku domen wykorzystywanych do przeprowadzania ataków.
Najważniejszym wnioskiem dla użytkowników jest krytyczne znaczenie konserwacji sprzętu. Ponieważ napastnicy polegali na przestarzałym oprogramowaniu i niezałatanych lukach, wiele z tych urządzeń pozostawało podatnych na ataki przez lata bez wiedzy właścicieli.
Wniosek: Ta kampania pokazuje, że napastnicy w coraz większym stopniu atakują infrastrukturę sieciową, a nie punkty końcowe użytkowników, aby ominąć nowoczesne warstwy zabezpieczeń, takie jak 2FA. Regularna aktualizacja oprogramowania sprzętowego wszystkich urządzeń podłączonych do Internetu pozostaje istotną obroną przed tak zaawansowanymi, wspieranymi przez rząd zagrożeniami.
