Ρώσοι κυβερνητικοί χάκερ της ομάδας Fancy Bear (APT 28), που συνδέεται με τη ρωσική υπηρεσία πληροφοριών GRU, κατέλαβαν χιλιάδες routers σπιτιών και μικρών επιχειρήσεων παγκοσμίως για κλοπή κωδικών και tokens. Σύμφωνα με προειδοποίηση της Τρίτης από το NCSC του Ηνωμένου Βασιλείου και το Black Lotus Labs, εκμεταλλεύτηκαν ευπάθειες σε μη ενημερωμένα routers MicroTik και TP-Link, ανακατευθύνοντας την κίνηση σε πλαστές ιστοσελίδες. Η επίθεση επηρέασε τουλάχιστον 18.000 θύματα σε 120 χώρες, συμπεριλαμβανομένων κυβερνητικών υπηρεσιών. Η Microsoft εντόπισε πάνω από 200 οργανισμούς και 5.000 καταναλωτικές συσκευές που επλήγησαν, ενώ το FBI κατέσχεσε domains της καμπάνιας.
Αναλυτικά:
Ρώσοι κυβερνητικοί χάκερ έχουν καταλάβει χιλιάδες routers σε σπίτια και μικρές επιχειρήσεις παγκοσμίως, στοχεύοντας στην ανακατεύθυνση της διαδικτυακής κίνησης των θυμάτων, ώστε να υποκλέπτονται κωδικοί πρόσβασης και access tokens.
Η προειδοποίηση δόθηκε την Τρίτη από ερευνητές ασφαλείας και κυβερνητικές αρχές.
Η δραστηριότητα αποδίδεται στη μακρόχρονη ρωσική ομάδα χάκινγκ Fancy Bear, γνωστή και ως APT 28. Η ομάδα έχει συνδεθεί με υψηλού προφίλ επιχειρήσεις κατασκοπείας και επιθέσεις, μεταξύ των οποίων η παραβίαση της Εθνικής Επιτροπής του Δημοκρατικού Κόμματος των ΗΠΑ το 2016 και η καταστροφική επίθεση που έπληξε τον δορυφορικό πάροχο Viasat το 2022. Η Fancy Bear θεωρείται ευρέως ότι αποτελεί μέρος της ρωσικής υπηρεσίας πληροφοριών GRU.
Στο επίκεντρο της τρέχουσας καμπάνιας βρέθηκαν μη ενημερωμένα routers της MicroTik και της TP-Link. Η μονάδα κυβερνοασφάλειας NCSC του Ηνωμένου Βασιλείου και το Black Lotus Labs, ο ερευνητικός βραχίονας της Lumen, ανέφεραν ότι οι δράστες εκμεταλλεύτηκαν ήδη γνωστές ευπάθειες για να αποκτήσουν πρόσβαση στις συσκευές.
Οι ερευνητές εκτίμησαν ότι, μέσω της παραβίασης routers, οι χάκερ μπόρεσαν να παρακολουθούν μεγάλο αριθμό ανθρώπων επί σειρά ετών. Πολλές από τις συσκευές φέρεται να εκτελούσαν παρωχημένο λογισμικό, γεγονός που τις άφηνε εκτεθειμένες σε απομακρυσμένες επιθέσεις χωρίς να το γνωρίζουν οι ιδιοκτήτες τους.
Το NCSC ανέφερε ότι οι επιχειρήσεις αυτές είναι πιθανό να είναι ευκαιριακές, με τον δράστη να «ρίχνει ένα ευρύ δίχτυ» για να προσεγγίσει πολλούς πιθανούς στόχους και στη συνέχεια να εστιάζει σε στόχους πληροφοριακού ενδιαφέροντος καθώς η επίθεση εξελίσσεται.
Σύμφωνα με τις κυβερνητικές οδηγίες και τους ερευνητές, οι χάκερ τροποποιούσαν τις ρυθμίσεις των routers ώστε τα αιτήματα των θυμάτων στο διαδίκτυο να περνούν κρυφά μέσω υποδομών που ελέγχουν οι ίδιοι. Με αυτόν τον τρόπο μπορούσαν να ανακατευθύνουν τους χρήστες σε πλαστές ιστοσελίδες υπό τον έλεγχό τους και να αποσπούν κωδικούς και tokens. Τα κλεμμένα tokens τους επέτρεπαν να συνδέονται σε διαδικτυακούς λογαριασμούς των θυμάτων χωρίς να απαιτούνται οι κωδικοί επαλήθευσης δύο παραγόντων.
Το Black Lotus Labs ανέφερε ότι η Fancy Bear παραβίασε τουλάχιστον 18.000 θύματα σε περίπου 120 χώρες, συμπεριλαμβανομένων κυβερνητικών υπηρεσιών, υπηρεσιών επιβολής του νόμου και παρόχων email σε περιοχές της Βόρειας Αφρικής, της Κεντρικής Αμερικής και της νοτιοανατολικής Ασίας.
Η Microsoft, η οποία έδωσε επίσης στη δημοσιότητα λεπτομέρειες την Τρίτη, ανέφερε σε ανάρτηση στο blog της ότι οι ερευνητές της εντόπισαν πάνω από 200 οργανισμούς και 5.000 καταναλωτικές συσκευές που επηρεάστηκαν, συμπεριλαμβανομένων τουλάχιστον τριών κυβερνητικών οργανισμών στην Αφρική.
Παράλληλα, το FBI αναμένεται να ανακοινώσει την κατάσχεση αρκετών domains που χρησιμοποιήθηκαν στην καμπάνια. Η Lumen δήλωσε ότι συμμετείχε σε συνασπισμό, μαζί με το FBI, που διέκοψε τη λειτουργία του botnet και το έθεσε εκτός λειτουργίας. Εκπρόσωπος του FBI δεν απάντησε σε αιτήματα σχολιασμού πριν από τη δημοσίευση.
-
6
