Hackers rusos secuestraron miles de routers domésticos para robar contraseñas, según investigadores
Hackers del gobierno ruso secuestran routers en una amplia campaña de espionaje
Hackers del gobierno ruso han comprometido miles de routers domésticos y de pequeñas empresas en todo el mundo en un esfuerzo por robar contraseñas y tokens de autenticación, según investigadores de seguridad y autoridades del Reino Unido.
La campaña está vinculada a Fancy Bear, también conocido como APT28, un grupo de hackers de larga trayectoria ampliamente considerado que opera bajo la agencia de inteligencia GRU de Rusia. El grupo tiene un historial de intrusiones de alto perfil, incluida la violación del Comité Nacional Demócrata en 2016 y el destructivo ataque de 2022 al proveedor de satélites Viasat.
Investigadores de Black Lotus Labs de Lumen y del Centro Nacional de Ciberseguridad del gobierno del Reino Unido dijeron que los hackers atacaron routers MicroTik y TP-Link sin parches utilizando vulnerabilidades previamente divulgadas. Muchos de los dispositivos afectados ejecutaban software obsoleto, lo que permitía a los atacantes irrumpir de forma remota sin el conocimiento de los propietarios.
Una vez dentro, los hackers cambiaron la configuración del router para que las solicitudes de internet de las víctimas fueran redirigidas silenciosamente a través de la infraestructura controlada por los atacantes. Esa configuración les permitió dirigir a los usuarios hacia sitios web falsificados y capturar credenciales y tokens que podrían usarse para acceder a cuentas en línea, incluso sin códigos de autenticación de dos factores.
El NCSC dijo que la actividad es “probablemente de naturaleza oportunista”, con atacantes lanzando una red amplia antes de centrarse en objetivos de interés para la inteligencia. Black Lotus Labs dijo que Fancy Bear comprometió al menos a 18.000 víctimas en aproximadamente 120 países.
Entre los afectados se encontraban departamentos gubernamentales, agencias de aplicación de la ley y proveedores de correo electrónico en el norte de África, América Central y el sudeste asiático.
Los hallazgos se suman a una creciente cantidad de pruebas de que el hardware de red ordinario sigue siendo un objetivo valioso para el espionaje respaldado por el estado. En este caso, el compromiso de un router fue suficiente para dar a los atacantes una forma de observar el tráfico, redirigir a los usuarios y recolectar los datos de inicio de sesión necesarios para irrumpir en otras cuentas.
Fuentes:
Navega de forma privada con Doppler VPN — sin registros, conexión con un solo toque.