Група хакерів російського уряду захопила тисячі домашніх роутерів і роутерів малого бізнесу по всьому світу в рамках триваючої кампанії, спрямованої на перенаправлення інтернет-трафіку жертв для викрадення їхніх паролів і токенів доступу, попередили дослідники з кібербезпеки та державні органи у вівторок.
Це остання тактика довготривалої російської хакерської групи, відомої як Fancy Bear або APT 28, яка відома своїми гучними зламами та шпигунськими операціями, включаючи злам Демократичного національного комітету у 2016 році та руйнівний злам, що вразив супутникового провайдера Viasat у 2022 році. Вважається, що Fancy Bear є частиною російського розвідувального агентства ГРУ.
Хакерська група націлилася на незапатчені роутери виробництва MicroTik і TP-Link, використовуючи раніше розкриті вразливості, згідно з даними кіберпідрозділу уряду Великої Британії NCSC та дослідницького підрозділу Lumen Black Lotus Labs, які оприлюднили нові деталі кампанії у вівторок.
За словами дослідників, хакери змогли шпигувати за великою кількістю людей протягом кількох років, компрометуючи їхні роутери, багато з яких працюють на застарілому програмному забезпеченні, що робить їх вразливими до віддалених атак без відома власників.
NCSC заявило, що ці операції «ймовірно, мають опортуністичний характер, коли зловмисник закидає широку сітку, щоб охопити багатьох потенційних жертв, а потім звужує коло до цілей, що становлять розвідувальний інтерес, у міру розвитку атаки».
Згідно з дослідниками та державними консультаціями, російські хакери зламували роутери, щоб змінити налаштування пристрою, внаслідок чого інтернет-запити жертви непомітно передавалися до інфраструктури, керованої хакерами. Це дозволяє хакерам перенаправляти жертв на підроблені веб-сайти під їхнім контролем, а потім викрадати паролі та токени, які дозволяють хакерам входити в онлайн-акаунти жертви без потреби в двофакторних кодах автентифікації.
Black Lotus Labs повідомила, що Fancy Bear скомпрометувала щонайменше 18 000 жертв у близько 120 країнах, включаючи державні департаменти, правоохоронні органи та постачальників електронної пошти в Північній Африці, Центральній Америці та Південно-Східній Азії.
Microsoft, яка також оприлюднила деталі кампанії у вівторок, заявила у своєму блозі, що її дослідники виявили понад 200 організацій і 5000 споживчих пристроїв, постраждалих від цих хакерських операцій, включаючи щонайменше три державні організації в Африці.
Очікується, що ФБР оголосить про ліквідацію кількох доменів, використаних у цій кампанії хакерами. Lumen заявила, що була частиною коаліції, включаючи ФБР, яка знешкодила ботнет і вивела його з ладу.
Речник ФБР не відповів на запити про коментар перед публікацією.
Залишити відповідь