Un grup de hackeri susținut de statul rus, cunoscut sub denumirile de APT28, Fancy Bear sau Unitatea 26165 a agenției de informații militare GRU, a vizat mii de routere destinate locuințelor și birourilor mici în cadrul unei campanii de spionaj cibernetic. Despre ăștia susțin unii conaționali că “vor să ajute România”.
Incident global cu hackeri ruși
Acțiunile au fost raportate și analizate de agenții internaționale de securitate cibernetică, inclusiv FBI, NSA și NCSC din Marea Britanie. Atacatorii au vizat în principal dispozitive de rețea neactualizate sau configurate nesigur, cu scopul de a intercepta traficul de internet și de a extrage date de autentificare.
Echipamentele cele mai afectate în aceste incidente includ dispozitive precum Ubiquiti EdgeRouters și anumite modele de routere TP-Link. Hackerii au profitat de vulnerabilități software cunoscute și de parole implicite sau slabe, exploatând frecvent dispozitive care utilizează protocolul SNMP nesecurizat. Odată compromis un dispozitiv, atacatorii obțin un nivel ridicat de acces la sistemul de operare al acestuia. Acest control permite instalarea de scripturi personalizate și programe malițioase, precum ușa din spate denumită MASEPIE sau malware-ul Moobot, transformând routerele comerciale într-o infrastructură proxy ascunsă.
Mecanismul de atac se bazează adesea pe modificarea setărilor DNS și pe interceptarea conexiunilor. Prin redirecționarea traficului web prin servere controlate de ei, membrii APT28 reușesc să analizeze comunicațiile pentru a culege parole, tokenuri OAuth și date de autentificare NTLMv2 de la organizațiile sau indivizii țintă. Dispozitivele compromise sunt folosite și pentru a găzdui pagini false de phishing sau pentru a valida credențiale de e-mail furate anterior, mascând în tot acest timp originile și identitatea reală a atacatorilor.
Autoritățile au colaborat pentru a neutraliza o parte din această rețea de tip botnet și au emis directive clare pentru utilizatorii casnici și administratorii de rețele comerciale. Deoarece simpla repornire a unui router compromis nu elimină malware-ul instalat, specialiștii în securitate cibernetică subliniază necesitatea efectuării unei resetări complete la setările din fabrică ale dispozitivului. Această acțiune trebuie urmată imediat de actualizarea firmware-ului la cea mai recentă versiune disponibilă. Este imperativă înlocuirea numelor de utilizator și a parolelor implicite cu variante complexe, unice, alături de implementarea unor reguli stricte de firewall pentru a bloca accesul neautorizat la distanță.
Sursa: Ars Technica
