Фахівці з кібербезпеки та державні агенції розкрили масштабну та тривалу кампанію кібератак, у ході якої було захоплено управління тисячами роутерів у будинках та малих підприємствах. Операція, пов’язана з російським спонсорованим державою угрупуванням Fancy Bear (APT 28), була спрямована на перехоплення інтернет-трафіку і крадіжку паролів і токенів доступу у користувачів, що нічого не підозрюють, у всьому світі.
Механіка атаки: як роутери перетворюються на шпигунське ПЗ
Хакери не атакували комп’ютери користувачів прямо; замість цього вони зламали “точку входу” в мережу – роутер. Використовуючи невиправлені вразливості у пристроях виробництва MikroTik та TP-Link, зловмисники отримали контроль над самим обладнанням.
Після компрометації роутера хакери змінювали його налаштування реалізації атаки типу «людина посередині» (man-in-the-middle). Процес виглядає так:
1. Перенаправлення трафіку: Легітимні інтернет-запити жертви потай направляються через інфраструктуру, контрольовану хакерами.
2. Спуфінг (підміна): Користувачів перенаправляють на підроблені версії реальних сайтів (наприклад, поштових сервісів чи банківських порталів).
3. Крадіжка облікових даних: Коли користувачі вводять свої логіни та паролі, хакери перехоплюють їхні паролі та токени сесій.
Чому це важливо: Крадучи токени сесій, хакери можуть обходити двухфакторну автентифікацію (2FA). Це дозволяє їм захоплювати активні онлайн-акаунти, навіть не маючи доступу до вторинного коду безпеки жертви, що робить один із найпоширеніших сучасних методів захисту марним.
Глобальний масштаб: від приватних осіб до державних структур
Масштаб операції величезний, і експерти характеризують її як «опортуністичну». Замість того, щоб спочатку цілитися в конкретних осіб, хакери закидали «широку мережу», щоб заразити якнайбільше пристроїв, а потім фільтрували отримані дані у пошуках високоцінних цілей.
Дані різних дослідницьких організацій підкреслюють охоплення зараження:
– Black Lotus Labs (Lumen): Виявили як мінімум 18 000 жертв приблизно у 120 країнах, включаючи правоохоронні органи, державні відомства та поштових провайдерів у Північній Африці, Центральній Америці та Південно-Східній Азії.
– Microsoft: Повідомила про виявлення понад 200 організацій та 5 000 споживчих пристроїв, порушених атакою, включаючи як мінімум три державні структури в Африці.
Хто стоїть за цією кампанією
Угруповання, ідентифіковане як злочинець, – це Fancy Bear, також відоме як APT 28. Вважається, що ця група тісно пов’язана з російською військовою розвідкою — ГРУ.
Fancy Bear має документально підтверджену історію проведення високотехнологічного шпигунства та деструктивних операцій, найбільш помітними з яких є:
* Злом Демократичного національного комітету (DNC) у США у 2016 році.
* Деструктивна хакерська атака на супутникового провайдера Viasat у 2022 році.
Заходи протидії та припинення активності
У відповідь на цю кампанію глобальна коаліція, що включає ФБР та Lumen, зробила кроки щодо руйнування інфраструктури хакерів. Ці зусилля включали відключення великомасштабного ботнета та блокування кількох доменів, які використовувалися для проведення атак.
Головний висновок для користувачів – критична важливість обслуговування обладнання. Оскільки атакуючі покладалися на застаріле програмне забезпечення та невиправлені вразливості, багато з цих пристроїв залишалися вразливими протягом багатьох років без відома власників.
Висновок: Ця кампанія демонструє, що зловмисники все частіше вибирають метою мережну інфраструктуру, а не кінцеві пристрої користувачів, щоб обійти сучасні рівні захисту, такі як 2FA. Регулярне оновлення прошивок на всьому устаткуванні, підключеному до Інтернету, залишається життєво важливим засобом захисту від таких складних загроз на державному рівні.
