Российские хакеры взломали тысячи домашних маршрутизаторов для кражи паролей, сообщают исследователи
Российские правительственные хакеры захватывают маршрутизаторы в рамках широкомасштабной шпионской кампании
Российские правительственные хакеры скомпрометировали тысячи домашних и офисных маршрутизаторов по всему миру с целью кражи паролей и токенов аутентификации, сообщают исследователи безопасности и власти Великобритании.
Кампания связана с Fancy Bear, также известной как APT28, давней хакерской группой, которая, как широко считается, действует под эгидой российской разведывательной службы ГРУ. Группа имеет историю громких вторжений, включая взлом Национального комитета Демократической партии в 2016 году и разрушительную атаку на спутникового провайдера Viasat в 2022 году.
Исследователи из Black Lotus Labs компании Lumen и Национального центра кибербезопасности правительства Великобритании заявили, что хакеры атаковали необновленные маршрутизаторы MicroTik и TP-Link, используя ранее раскрытые уязвимости. Многие из затронутых устройств работали на устаревшем программном обеспечении, что позволяло злоумышленникам проникать удаленно без ведома владельцев.
Проникнув внутрь, хакеры изменили настройки маршрутизатора таким образом, что интернет-запросы жертв незаметно перенаправлялись через инфраструктуру, контролируемую злоумышленниками. Эта схема позволяла им направлять пользователей на поддельные веб-сайты и перехватывать учетные данные и токены, которые могли быть использованы для доступа к онлайн-аккаунтам, даже без кодов двухфакторной аутентификации.
NCSC заявила, что эта активность «вероятно, носит оппортунистический характер», когда злоумышленники забрасывают широкую сеть, прежде чем сузить круг до целей, представляющих разведывательный интерес. Black Lotus Labs сообщила, что Fancy Bear скомпрометировала по меньшей мере 18 000 жертв примерно в 120 странах.
Среди пострадавших были правительственные ведомства, правоохранительные органы и поставщики электронной почты в Северной Африке, Центральной Америке и Юго-Восточной Азии.
Эти выводы дополняют растущий объем доказательств того, что обычное сетевое оборудование остается ценной целью для государственного шпионажа. В данном случае компрометации маршрутизатора было достаточно, чтобы дать злоумышленникам возможность наблюдать за трафиком, перенаправлять пользователей и собирать данные для входа, необходимые для взлома других учетных записей.
Источники:
Просматривайте конфиденциально с Doppler VPN — без логов, подключение в одно касание.