Специалисты по кибербезопасности и государственные агентства раскрыли масштабную и длительную кампанию кибератак, в ходе которой было захвачено управление тысячами роутеров в домах и малых предприятиях. Операция, связанная с российской спонсируемой государством группировкой Fancy Bear (APT 28), была направлена на перехват интернет-трафика и кражу паролей и токенов доступа у ничего не подозревающих пользователей по всему миру.
Механика атаки: как роутеры превращаются в шпионское ПО
Хакеры не атаковали компьютеры пользователей напрямую; вместо этого они взломали точку входа в сеть — роутер. Используя неисправленные уязвимости в устройствах производства MikroTik и TP-Link, злоумышленники получили контроль над самим оборудованием.
После компрометации роутера хакеры изменяли его настройки для реализации атаки типа «человек посередине» (man-in-the-middle). Процесс выглядит следующим образом:
1. Перенаправление трафика: Легитимные интернет-запросы жертвы скрытно направляются через инфраструктуру, контролируемую хакерами.
2. Спуфинг (подмена): Пользователей перенаправляют на поддельные версии реальных сайтов (например, почтовых сервисов или банковских порталов).
3. Кража учетных данных: Когда пользователи вводят свои логины и пароли, хакеры перехватывают их пароли и токены сессий.
Почему это важно: Крадя токены сессий, хакеры могут обходить двухфакторную аутентификацию (2FA). Это позволяет им захватывать активные онлайн-аккаунты, даже не имея доступа к вторичному коду безопасности жертвы, что делает один из самых распространенных современных методов защиты бесполезным.
Глобальный масштаб: от частных лиц до государственных структур
Масштаб операции огромен, и эксперты характеризуют её как «оппортунистическую». Вместо того чтобы изначально целиться в конкретных лиц, хакеры закидывали «широкую сеть», чтобы заразить как можно больше устройств, а затем фильтровали полученные данные в поисках высокоценных целей.
Данные различных исследовательских организаций подчеркивают охват заражения:
— Black Lotus Labs (Lumen): Выявили как минимум 18 000 жертв примерно в 120 странах, включая правоохранительные органы, государственные ведомства и почтовых провайдеров в Северной Африке, Центральной Америке и Юго-Восточной Азии.
— Microsoft: Сообщила об обнаружении более 200 организаций и 5 000 потребительских устройств, затронутых атакой, включая как минимум три государственные структуры в Африке.
Кто стоит за этой кампанией
Группировка, идентифицированная как преступник, — это Fancy Bear, также известная как APT 28. Считается, что эта группа тесно связана с российской военной разведкой — ГРУ.
Fancy Bear имеет документально подтвержденную историю проведения высокотехнологичного шпионажа и деструктивных операций, наиболее заметными из которых являются:
* Взлом Демократического национального комитета (DNC) в США в 2016 году.
* Деструктивная хакерская атака на спутникового провайдера Viasat в 2022 году.
Меры противодействия и пресечение активности
В ответ на эту кампанию глобальная коалиция, включающая ФБР и Lumen, предприняла шаги по разрушению инфраструктуры хакеров. Эти усилия включали отключение крупномасштабного ботнета и блокировку нескольких доменов, использовавшихся для проведения атак.
Главный вывод для пользователей — критическая важность обслуживания оборудования. Поскольку атакующие полагались на устаревшее программное обеспечение и неисправленные уязвимости, многие из этих устройств оставались уязвимыми в течение многих лет без ведома владельцев.
Заключение: Данная кампания демонстрирует, что злоумышленники всё чаще выбирают целью сетевую инфраструктуру, а не конечные устройства пользователей, чтобы обойти современные уровни защиты, такие как 2FA. Регулярное обновление прошивок на всем оборудовании, подключенном к интернету, остается жизненно важным средством защиты от таких сложных угроз, поддерживаемых на государственном уровне.
