האקרים רוסים חטפו אלפי נתבים ביתיים כדי לגנוב סיסמאות, כך אומרים חוקרים
האקרים של ממשלת רוסיה חוטפים נתבים בקמפיין ריגול נרחב
האקרים של ממשלת רוסיה פגעו באלפי נתבים ביתיים ושל עסקים קטנים ברחבי העולם במאמץ לגנוב סיסמאות ואסימוני אימות, כך לפי חוקרי אבטחה ורשויות בבריטניה.
הקמפיין קשור ל-Fancy Bear, הידועה גם בשם APT28, קבוצת האקרים ותיקה שמאמינים כי היא פועלת תחת סוכנות הביון GRU של רוסיה. לקבוצה היסטוריה של פריצות בולטות, כולל הפריצה לוועדה הדמוקרטית הלאומית ב-2016 והמתקפה ההרסנית ב-2022 על ספקית הלוויין Viasat.
חוקרים מ-Black Lotus Labs של Lumen ומהמרכז הלאומי לאבטחת סייבר של ממשלת בריטניה מסרו כי ההאקרים כיוונו לנתבי MicroTik ו-TP-Link שלא תוקנו, תוך שימוש בפגיעויות שפורסמו בעבר. רבים מהמכשירים שנפגעו הפעילו תוכנה מיושנת, מה שאפשר לתוקפים לפרוץ מרחוק ללא ידיעת הבעלים.
לאחר הפריצה, ההאקרים שינו את הגדרות הנתב כך שבקשות האינטרנט של הקורבנות הועברו בשקט דרך תשתית שנשלטה על ידי התוקפים. הגדרה זו אפשרה להם להפנות משתמשים לאתרי אינטרנט מזויפים וללכוד אישורים ואסימונים שניתן היה להשתמש בהם כדי לגשת לחשבונות מקוונים, אפילו ללא קודי אימות דו-שלביים.
ה-NCSC מסר כי הפעילות היא "ככל הנראה אופורטוניסטית באופייה", כאשר התוקפים פורסים רשת רחבה לפני שהם מתמקדים ביעדים בעלי עניין מודיעיני. Black Lotus Labs מסרה כי Fancy Bear פגעה בלפחות 18,000 קורבנות בכ-120 מדינות.
בין הנפגעים היו משרדי ממשלה, סוכנויות אכיפת חוק וספקי דוא"ל ברחבי צפון אפריקה, מרכז אמריקה ודרום מזרח אסיה.
הממצאים מוסיפים לגוף הולך וגדל של ראיות לכך שחומרת רשת רגילה נותרה יעד יקר ערך לריגול הנתמך על ידי המדינה. במקרה זה, פגיעה בנתב הספיקה כדי לתת לתוקפים דרך לצפות בתעבורה, להפנות משתמשים ולאסוף את נתוני ההתחברות הדרושים כדי לפרוץ לחשבונות במקומות אחרים.
מקורות:
גלוש באופן פרטי עם Doppler VPN — ללא יומנים, התחברות בלחיצה אחת.